UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING
“DISEÑO DE UN MODELO DE ARQUITECTURA DE
SEGURIDAD PARA LA RED DE DATOS
DE LA UNIVERSIDAD DE
GUAYAQUIL”
PROYECTO DE TITULACIÓN
Previa a la obtención del Título de:
INGENIERO EN NETWORKING Y
TELECOMUNICACIONES
AUTOR: VÍCTOR EMILIO SILVA BAJAÑA
TUTOR: ING. EDUARDO CRUZ RAMÍREZ MSIA.
GUAYAQUIL – ECUADOR
2016
II
REPOSITORIO NACIONAL EN CIENCIAS Y TECNOLOGÍA
FICHA DE REGISTRO DE PROYECTO DE TITULACIÓN
TÍTULO: “DISEÑO DE UN MODELO DE ARQUITECTURA DE SEGURIDAD PARA LA RED DE DATOS
DE LA UNIVERSIDAD DE GUAYAQUIL”
REVISORES: Lcdo. Wilber Ortiz, M.Sc.
Lcdo. Pablo Alarcón, M.Sc.
INSTITUCIÓN: Universidad de Guayaquil FACULTAD: Matemáticas y Físicas
CARRERA: Ingeniería en Networking y Telecomunicaciones
FECHA DE PUBLICACIÓN: 2016 N° DE PÁGS.: 115
ÁREA TEMÁTICA: Seguridades
PALABRAS CLAVES: SEGURIDADES, ARQUITECTURA DE SEGURIDAD, REDES, RED DE DATOS
RESUMEN: Para las organizaciones e instituciones en general de hoy en día la seguridad de la información se ha convertido
en un aspecto primordial en las redes datos; protegiendo de esta manera los recursos tecnológicos y la información. Es por esta
razón que, a la Universidad de Guayaquil (en su Ciudadela Salvador Allende incluyendo sus facultades) le beneficiaría tomar
en consideración el Diseño de Arquitectura de Seguridad propuesto para su red de datos que permita la correcta administración
y control de su información y recursos tecnológicos que benefician, facilitan y aportan al trabajo de los docentes y personal
administrativo, sin olvidar las bondades que traen los mismos al estudiantado. Para este proyecto se utilizó la modalidad de
investigación bibliográfica, descriptiva y exploratoria, realizando encuestas al personal administrativo de TI y a los estudiantes
de la Universidad de Guayaquil. Con esta propuesta se busca aportar al avance tecnológico en el área de las TIC's y a fortalecer
falencias en lo que a seguridad de la información se refiere, todo esto basado en estándares y lineamientos que ayudarán a
establecer controles de seguridad y a seleccionar y mantener correctamente los mecanismos de seguridad en función a las
necesidades de la institución, que a su vez, mitiga las amenazas y vulnerabilidades, brinda una solución inmediata y sistemática
a los impactos y disminuye los riesgos con lo cual resulta beneficiada la comunidad educativa de la Ciudadela Universitaria
Salvador Allende.
N° DE REGISTRO(en base de datos): N° DE CLASIFICACIÓN:
DIRECCIÓN URL (tesis en la web):
ADJUNTO PDF X
SI
NO
CONTACTO CON AUTOR: VÍCTOR EMILIO SILVA BAJAÑA Teléfono:0982200328 E-mail: [email protected]
CONTACTO DE LA INSTITUCIÓN Nombre: Ab. Juan Chávez A.
Teléfono: 042307729
III
APROBACIÓN DEL TUTOR
En mi calidad de Tutor del trabajo de investigación, “Diseño de un modelo de
seguridad para la red de datos de la Universidad de Guayaquil“ elaborado por el
Sr. Víctor Emilio Silva Bajaña, Alumno no titulado de la Carrera de Ingeniería en
Networking, Facultad de Ciencias Matemáticas y Físicas de la Universidad de
Guayaquil, previo a la obtención del Título de Ingeniero en Networking y
Telecomunicaciones, me permito declarar que luego de haber orientado,
estudiado y revisado, la apruebo en todas sus partes.
Atentamente
ING. EDUARDO CRUZ RAMIREZ MSIA.
IV
DEDICATORIA
A Dios, mi familia, mi querida
abuela Zoila Monserrate (+) y
a mi novia Betsabeth Valverde
que fueron el principal apoyo
para el desarrollo y
culminación de este proyecto.
V
AGRADECIMIENTO
Agradezco a mi tutor y maestros
por su paciencia, credibilidad y
confianza que me brindaron
para desarrollar exitosamente
este proyecto.
VI
TRIBUNAL PROYECTO DE TITULACIÓN
Ing. Eduardo Santos Baquerizo, M.Sc. Ing. Harry Luna Aveiga, M.Sc.
….DECANO DE LA FACULTAD DIRECTOR
CIENCIAS MATEMÁTICAS Y FÍSICAS CIN
Ing. Eduardo Cruz Ramírez, MSIA. Lcdo. Wilber Ortiz Aguilar
…...DIRECTOR DEL PROYECTO PROFESOR DEL ÁREA–
DE TITULACIÓN TRIBUNAL
Lcda. Ruth Paredes Santin Ab. Juan Chávez Atocha
.PROFESOR DEL ÁREA– SECRETARIO…
….….. TRIBUNAL
VII
DECLARACIÓN EXPRESA
“La responsabilidad del contenido de este
Proyecto de Titulación, me corresponden
exclusivamente; y el patrimonio intelectual de la
misma a la UNIVERSIDAD DE GUAYAQUIL”
VÍCTOR EMILIO SILVA BAJAÑA
VIII
.
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING
DISEÑO DE UN MODELO DE ARQUITECTURA DE
SEGURIDAD PARA LA RED DE DATOS DE
LA UNIVERSIDAD DE
GUAYAQUIL.
Proyecto de Titulación que se presenta como requisito para optar por el título de
Ingeniero en Networking y Telecomunicaciones
Autor: VÍCTOR EMILIO SILVA BAJAÑA
C.I. 091928383-8
Tutor: ING. EDUARDO CRUZ RAMÍREZ MSIA.
GUAYAQUIL, ABRIL 2016
IX
CERTIFICADO DE ACEPTACIÓN DEL TUTOR
En mi calidad de Tutor del proyecto de titulación, nombrado por el Consejo
Directivo de la Facultad de Ciencias Matemáticas y Físicas de la Universidad de
Guayaquil.
CERTIFICO:
Que he analizado el Proyecto de Titulación presentado por el/la
estudiante VÍCTOR EMILIO SILVA BAJAÑA, como requisito previo para optar por
el título de Ingeniero en Networking cuyo problema es:
“DISEÑO DE UN MODELO DE ARQUITECTURA DE SEGURIDAD PARA LA
RED DE DATOS DE LA UNIVERSIDAD DE GUAYAQUIL.”
Considero aprobado el trabajo en su totalidad.
Presentado por:
SILVA BAJAÑA VÍCTOR EMILIO
Cédula de ciudadanía N° 0919283838
Tutor: ING. EDUARDO CRUZ RAMÍREZ MSIA.
GUAYAQUIL, ABRIL 2016
X
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING
Autorización para Publicación del Proyecto de Titulación
en Formato Digital
1. Identificación del Proyecto de Titulación
Nombre Alumno: VÍCTOR EMILIO SILVA BAJAÑA
Dirección: CDLA. EL RECREO MZ. 507 V. 34
Teléfono: 042675101 E-mail: [email protected]
2. Autorización de Publicación de Versión Electrónica del Proyecto de Titulación A través de este medio autorizo a la Biblioteca de la Universidad de Guayaquil y a la Facultad de Ciencias Matemáticas y Físicas a publicar la versión electrónica de este Proyecto de Titulación. Publicación electrónica:
Firma Alumno:
3. Forma de envío: El texto del Proyecto de Titulación debe ser enviado en formato Word, como archivo .Doc. O .RTF y .Puf para PC. Las imágenes que la acompañen pueden ser: .gif, .jpg o .TIFF.
DVDROM CDROM X
Facultad: CIENCIAS MATEMÁTICAS Y FÍSICAS
Carrera: INGENIERÍA EN NETWORKING
Título al que opta: INGENIERO EN NETWORKING Y TELECOMUNICACIONES
Profesor guía: ING. EDUARDO CRUZ RAMÍREZ MSIA.
Título del Proyecto de Titulación: “DISEÑO DE UN MODELO DE ARQUITECTURA DE SEGURIDAD PARA LA RED DE DATOS DE LA UNIVERSIDAD DE GUAYAQUIL”
Tema del Proyecto de Titulación: DISEÑO, ARQUITECTURA, SEGURIDAD, ARQUITECTURA DE SEGURIDAD, REDES, RED DE DATOS
Inmediata X Después de 1 año
XI
INDICE GENERAL
APROBACIÓN DEL TUTOR III
DEDICATORIA IV
AGRADECIMIENTO V
DECLARACIÓN EXPRESA VII
CERTIFICADO DE ACEPTACIÓN DEL TUTOR IX
INDICE GENERAL XI
INTRODUCCIÓN 1
CAPÍTULO I 3
EL PROBLEMA 3
Planteamiento del problema 3
Ubicación del problema en un contexto 3
Situación conflicto nudos críticos 5
Causas y consecuencias del problema 5
Delimitación del problema 6
Formulación del problema 7
Evaluación del problema 7
Objetivos 8
Alcances del problema 9
Justificación e Importancia 10
CAPÍTULO II 12
MARCO TEÓRICO 12
Antecedentes del estudio 12
Fundamentación teórica 13
Seguridad de la información 13
Política, estándares y procedimientos de la seguridad de la información 16
ISO 27001:2013 18
ISO 27002:2013 20
SGSI 21
Arquitectura de seguridad 22
Objetivos de una arquitectura de seguridad 23
Estrategias a aplicar en una arquitectura de seguridad 24
Procedimientos a seguir para la aplicación de una arquitectura de seguridad 28
XII
Clasificación en niveles de seguridad 29
Métodos de ataques más comunes 29
Mecanismos de control y seguridad de la informaciÓn 32
M1: Defensa técnica 32
M2: Defensa de funcionamiento 38
M3: Defensa de gestión 39
M4: La defensa física 39
Proceso de evaluación de riesgos 40
Fundamentación legal 49
Información y datos 49
preguntas científicas a contestarse 53
Variables de la investigación 54
Definiciones conceptuales 54
CAPÍTULO III 57
METODOLOGÍA DE LA INVESTIGACIÓN 57
DISEÑO DE LA INVESTIGACIÓN 57
Modalidad de la Investigación 57
POBLACIÓN Y MUESTRA 59
Población 59
Criterios de inclusión y de exclusión 60
Muestra 61
OPERACIONALIZACIÓN DE VARIABLES 62
Instrumentos de Recolección de Datos 64
Observación 64
Encuestas y Cuestionarios 65
Procedimientos de la Investigación 66
Recolección de la Información 68
Procesamiento y análisis 68
DESCRIPCIÓN Y CODIFICACIÓN DE LAS VARIABLES DE ENCUESTA PARA ENCARGADOS DE
CENTRO DE CÓMPUTO 71
RESULTADO Y ANÁLISIS DE LA ENCUESTA REALIZADA 79
DESCRIPCIÓN Y CODIFICACIÓN DE LAS VARIABLES DE ENCUESTA PARA estudiantes 95
RESULTADO Y ANÁLISIS DE LA ENCUESTA REALIZADA a estudiantes 100
XIII
CAPÍTULO IV 111
RESULTADOS, CONCLUSIONES Y RECOMENDACIONES 111
RESULTADOS 111
CONCLUSIONES 111
RECOMENDACIONES 112
BIBLIOGRAFÍA 114
XIV
ABREVIATURAS ABP Aprendizaje Basado en Problemas UG Universidad de Guayaquil FTP Archivos de Transferencia g.l. Grados de Libertad http Protocolo de transferencia de Hyper Texto Ing. Ingeniero ISP Proveedor de Servicio de Internet Mtra. Maestra Msc. Máster MSIA Magister en Seguridad de la Información Aplicada URL Localizador de Fuente Uniforme www world wide web (red mundial) HTTP Hyper Text Transfer Protocol HTTPS Hyper Text Transfer Protocol Secure VPN Virtual Private Network DMZ De-Militarized Zone LDAP Lightweight Directory Access Protocol IT Information Technologies TIC Tecnologías de la Información y Comunicación Qos Quality of Service AP Access Point AAA Authentication, Authorization and Accounting ITIL Information Technology Infrastructure Library
XV
SIMBOLOGÍA
s Desviación estándar
e Error
E Espacio muestral
E(Y) Esperanza matemática de la v.a. y
s Estimador de la desviación estándar
e Exponencial
XVI
ÍNDICE DE CUADROS
Cuadro Nº 1 Causas y consecuencias 5
Cuadro Nº2 Diferencias entre Proyecto Factible y Proyecto de Investigación 58
Cuadro Nº 3 Población 59
Cuadro Nº4 Tamaño de la Muestra 62
Cuadro Nº 5 Matriz de operacionalización de variables 63
Cuadro Nº6 Codificación Variable 1 71
Cuadro Nº7 Codificación Variable 2 71
Cuadro Nº8 Codificación Variable 3 72
Cuadro Nº9 Codificación Variable 4 72
Cuadro Nº10 Codificación Variable 5 73
Cuadro Nº11 Codificación Variable 6 73
Cuadro Nº12 Codificación Variable 7 74
Cuadro Nº13 Codificación Variable 8 74
Cuadro Nº14 Codificación Variable 9 75
Cuadro Nº15 Codificación Variable 10 75
Cuadro Nº16 Codificación Variable 11 76
Cuadro Nº17 Codificación Variable 12 76
Cuadro Nº18 Codificación Variable 13 77
Cuadro Nº19 Codificación Variable 14 77
Cuadro Nº20 Codificación Variable 15 78
Cuadro Nº21 Valores Estadísticos Pregunta 1 79
Cuadro Nº22 Valores Estadística Descriptiva Pregunta 1 80
Cuadro Nº23 Valores Estadísticos Pregunta 2 81
Cuadro Nº24 Valores Estadísticos Pregunta 3 82
Cuadro Nº 25 Valores Estadísticos Pregunta 4 83
Cuadro Nº26 Valores Estadísticos Pregunta 5 84
Cuadro Nº27 Valores Estadísticos Pregunta 6 85
Cuadro Nº28 Valores Estadísticos Pregunta 7 86
Cuadro Nº29 Valores Estadísticos Pregunta 8 87
Cuadro Nº30 Valores Estadísticos Pregunta 9 88
Cuadro Nº31 Valores Estadísticos Pregunta 10 89
Cuadro Nº32 Valores Estadísticos Pregunta 11 90
Cuadro Nº33 Valores Estadísticos Pregunta 12 91
XVII
Cuadro Nº34 Valores Estadísticos Pregunta 13 92
Cuadro Nº35 Valores Estadísticos Pregunta 14 93
Cuadro Nº36 Valores Estadísticos Pregunta 15 94
Cuadro Nº37 Codificación Variable 1 95
Cuadro Nº38 Codificación Variable 2 95
Cuadro Nº39 Codificación Variable 3 96
Cuadro Nº40 Codificación Variable 4 96
Cuadro Nº41 Codificación Variable 5 97
Cuadro Nº42 Codificación Variable 6 97
Cuadro Nº43 Codificación Variable 7 98
Cuadro Nº44 Codificación Variable 8 98
Cuadro Nº45 Codificación Variable 9 99
Cuadro Nº46 Codificación Variable 10 99
Cuadro Nº47 Valores Estadísticos Pregunta 1 100
Cuadro Nº48 Valores Estadística Descriptiva Pregunta 1 101
Cuadro Nº49 Valores Estadísticos Pregunta 2 102
Cuadro Nº50 Valores Estadísticos Pregunta 3 103
Cuadro Nº 51 Valores Estadísticos Pregunta 4 104
Cuadro Nº52 Valores Estadísticos Pregunta 5 105
Cuadro Nº53 Valores Estadísticos Pregunta 6 106
Cuadro Nº54 Valores Estadísticos Pregunta 7 107
Cuadro Nº55 Valores Estadísticos Pregunta 8 108
Cuadro Nº56 Valores Estadísticos Pregunta 9 109
Cuadro Nº57 Valores Estadísticos Pregunta 10 110
Cuadro Nº 58 Cronograma del Proyecto 3
XVIII
ÍNDICE DE GRÁFICOS Gráfico N° 1 Pilares fundamentales de la seguridad de la información 14
Gráfico N° 2 Trazabilidad ascendente – descendente políticas, estándares y procedimientos. 16
Gráfico N° 3 Modelo PHVA aplicado a los procesos del SGSI 20
Gráfico N° 4. Componentes de una arquitectura de seguridad de la información. 22
Gráfico N° 5. Arquitectura de seguridad de la información. 23
Gráfico N° 6 Seguridad en capas. 24
Gráfico N° 7 Mecanismos de defensa de un sistema de información 32
Gráfico N° 8 Proceso de evaluación de riesgos de seguridad de la información 40
Gráfico N° 9 Tipos de control de riesgo. 47
Gráfico N°10 Valores Estadísticos Pregunta 1 79
Gráfico N° 11 Valores Estadísticos Pregunta 2 81
Gráfico N° 12 Valores Estadísticos Pregunta 3 82
Gráfico N° 13 Valores Estadísticos Pregunta 4 83
Gráfico N° 14 Valores Estadísticos Pregunta 5 84
Gráfico N° 15 Valores Estadísticos Pregunta 6 85
Gráfico N° 16 Valores Estadísticos Pregunta 7 86
Gráfico N° 17 Valores Estadísticos Pregunta 8 87
Gráfico N° 18 Valores Estadísticos Pregunta 9 88
Gráfico N° 19 Valores Estadísticos Pregunta 10 89
Gráfico N° 20 Valores Estadísticos Pregunta 11 90
Gráfico N° 21 Valores Estadísticos Pregunta 12 91
Gráfico N° 22 Valores Estadísticos Pregunta 13 92
Gráfico N° 23 Valores Estadísticos Pregunta 14 93
Gráfico N° 24 Valores Estadísticos Pregunta 15 94
Gráfico N°26 Valores Estadísticos Pregunta 1 100
Gráfico N° 28 Valores Estadísticos Pregunta 2 102
Gráfico N° 29 Valores Estadísticos Pregunta 3 103
Gráfico N° 30 Valores Estadísticos Pregunta 4 104
Gráfico N° 31 Valores Estadísticos Pregunta 5 105
Gráfico N° 32 Valores Estadísticos Pregunta 6 106
Gráfico N° 33 Valores Estadísticos Pregunta 7 107
Gráfico N° 34 Valores Estadísticos Pregunta 8 108
Gráfico N° 35 Valores Estadísticos Pregunta 9 109
XIX
Gráfico N° 36 Valores Estadísticos Pregunta 10 110
XX
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING
“DISEÑO DE UN MODELO DE ARQUITECTURA DE SEGURIDAD PARA LA RED DE DATOS DE LA
UNIVERSIDAD DE GUAYAQUIL”
Autor: Víctor Emilio Silva Bajaña
Tutor: Ing. Eduardo Cruz Ramírez MSIA.
Resumen
Para las organizaciones e instituciones en general de hoy en día la seguridad de
la información se ha convertido en un aspecto primordial en las redes datos;
protegiendo de esta manera los recursos tecnológicos y la información. Es por
esta razón que, a la Universidad de Guayaquil (en su Ciudadela Salvador Allende
incluyendo sus facultades) le beneficiaría tomar en consideración el Diseño de
Arquitectura de Seguridad propuesto para su red de datos que permita la correcta
administración y control de su información y recursos tecnológicos que benefician,
facilitan y aportan al trabajo de los docentes y personal administrativo, sin olvidar
las bondades que traen los mismos al estudiantado. Para este proyecto se utilizó
la modalidad de investigación bibliográfica, descriptiva y exploratoria, realizando
encuestas al personal administrativo de TI y a los estudiantes de la Universidad
de Guayaquil. Con esta propuesta se busca aportar al avance tecnológico en el
área de las TIC's y a fortalecer falencias en lo que a seguridad de la información
se refiere, todo esto basado en estándares y lineamientos que ayudarán a
establecer controles de seguridad y a seleccionar y mantener correctamente los
mecanismos de seguridad en función a las necesidades de la institución, que a su
vez, mitiga las amenazas y vulnerabilidades, brinda una solución inmediata y
sistemática a los impactos y disminuye los riesgos con lo cual resulta beneficiada
la comunidad educativa de la Ciudadela Universitaria Salvador Allende.
XXI
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING
“DISEÑO DE UN MODELO DE ARQUITECTURA DE SEGURIDAD PARA LA RED DE DATOS DE LA
UNIVERSIDAD DE GUAYAQUIL”
Autor: Víctor Emilio Silva Bajaña
Tutor: Ing. Eduardo Cruz Ramirez MSIA.
ABSTRACT
Nowadays, information has become an important concern for organizations and
institutions in general, especially when it comes into consideration data networks.
This guarantees the protection of technologic resources. Therefore, the University
of Guayaquil (inside the Salvador Allende Campus including all its faculties) should
analyze the proposal of the design of architecture security for its data network in
order to improve the management and control of information of services offered
and the technological resources. This, it would benefit and facilitate the work of
teachers and administrative staff and, of course, to students in general. For this
project the form of literature, descriptive and exploratory research is used,
conducting surveys IT administrative staff and students of the University of
Guayaquil. This proposal looks after the improvement of the use of ICT and the
strengthening of weaknesses related to the security of information based on
standards and guidelines that will help to establish security controls and select and
to correctly maintain the security mechanisms according to the needs of the
institution, which in turn mitigates threats and vulnerabilities provides immediate
and systematic impact solution and lowers risk that will benefit to all the educative
community.
1
INTRODUCCIÓN
El uso de arquitecturas de seguridad en una red de computadoras es fundamental
para el control de la información y recursos tecnológicos, por esta razón se vuelve
indispensable utilizar las últimas tendencias tecnológicas como mecanismos de
seguridad en base a políticas, normas internacionales ISO 27001:2013 e ISO
27002:2013 que contribuyen al cumplimiento de los principios de la seguridad de
la información en una organización.
A nivel mundial, las instituciones de educación superior han tenido que adaptarse
a los avances tecnológicos que mejoran la gestión administrativa, docente y
estudiantil, dentro o fuera de la universidad. Además, permite a sus investigadores
comunicarse con otras universidades alrededor del planeta para lograr la
excelencia académica deseada.
En instituciones educativas de educación superior es muy importante que se
emplee una arquitectura de seguridad diseñada y ajustada a su esquema de red.
Dicha arquitectura debe estar basada en los pilares fundamentales de la seguridad
de la información, para así proteger los datos de estudiantes, docentes y demás
áreas.
Es de mucha importancia para la Universidad de Guayaquil incorporar el diseño
de arquitectura de seguridad para la red de datos, ya que se pretende minimizar
vulnerabilidades en la infraestructura de red de la Ciudadela Salvador Allende. La
UG cuenta con 62000 estudiantes y 5018 personas entre administrativos y
docentes, cada facultad administra su infraestructura tecnológica interconectada
entre sí con la División de Centro de Cómputo.
El presente proyecto está conformado de 4 capítulos, los cuales se detallan a
continuación:
El Capítulo I EL PROBLEMA, está estructurado por el planteamiento del
problema, las causas y consecuencias, las variables del problema, la delimitación
2
del mismo, objetivo general y los objetivos específicos que hemos propuesto para
esta investigación, la utilidad así como la población a quién va dirigida.
El Capítulo II MARCO TEÓRICO, Establece una investigación bibliográfica que
sustenta este estudio, su relación entre sí, así como un amplio desarrollo de la
investigación teórica que sustenta este estudio. Se anotará también las preguntas
de investigación, las variables objeto del estudio, concluyendo con las definiciones
conceptuales y sus respectivos significados.
El Capítulo III METODOLOGÍA, DISEÑO DE LA INVESTIGACIÓN. En el tercer
capítulo se desarrollará la metodología que se aplicará en el estudio siendo la
misma de campo con planteamiento de preguntas a contestarse. Se diseñó y
aplicó como instrumento de investigación la observación directa y las encuestas a
estudiantes y al personal encargado de IT.
El Capítulo IV RESULTADOS, CONCLUSIONES Y RECOMENDACIONES. En
este capítulo se expusieron las conclusiones y recomendaciones, además la
interpretación de resultados de la investigación. Se aporta con ideas para que la
problemática tratada en la investigación sea analizada y superada con la
propuesta planteada en este trabajo.
Finalmente se incluye la bibliografía y los anexos correspondientes que sustentan
la investigación realizada.
3
CAPÍTULO I
EL PROBLEMA
PLANTEAMIENTO DEL PROBLEMA
UBICACIÓN DEL PROBLEMA EN UN CONTEXTO
La Universidad de Guayaquil, en su afán de brindar educación de calidad, se ve
en la necesidad de equipar de tecnologías de seguridad al centro de datos, para
el beneficio de las facultades que forman parte de esta, ya sean, que estén en la
Ciudadela Salvador Allende o fuera de esta.
Entre los puntos de mayor relevancia se encuentra la infraestructura de red, sitio
desde el cual se ejecutan un sin número de servicios informáticos la cual demanda
atención para reforzar la seguridad en todo ámbito, así como el ordenamiento que
ofrecen las arquitecturas de red.
Las facultades y el Centro de Cómputo de la Ciudadela Salvador Allende han
dejado en total descuido la aplicación de una arquitectura de seguridad bajo
normativas y políticas en su red de datos, ya que, no cumplen con los
requerimientos tecnológicos mínimos para proteger sus recursos tecnológicos e
información de la UG (Universidad de Guayaquil).
Es necesario que la infraestructura de red sea administrada por personal
especializado y capacitado continuamente en criterios de seguridad de la
información, de esta manera se evitarán desastres y se reducirán los costos que
implicarían la pérdida de datos, la alteración de la misma y además, indisponer
los servicios informáticos utilizados por los estudiantes, docentes y personal
4
administrativo, incumpliendo de esta manera los pilares fundamentales de la
seguridad: disponibilidad, confidencialidad e integridad.
La problemática se enfoca en la Universidad de Guayaquil en su Ciudadela
Universitaria Salvador Allende ubicada en la Ciudad de Guayaquil que cuenta con
13 facultades: Arquitectura y Urbanismo, Ciencias Administrativas, Ciencias
Agrarias, Ciencias Económicas, Ciencias Matemáticas y Físicas, Ciencias
Médicas, Ciencias Psicológicas, Ciencias Químicas, Educación Física, Deportes
y Recreación, Filosofía, Letras y Ciencias de la Educación, Ingeniería Química,
Jurisprudencia, Ciencias Sociales y Políticas, y Odontología, las mismas que en
base a una observación directa a la situación tecnológica actual y a encuestas al
personal de TI y a los estudiantes se ha determinado que no posee una
arquitectura de seguridad en su infraestructura tecnológica y además los
mecanismos de seguridad implementados hasta la actualidad no son fiables para
el tipo de información que manipula una institución de educación superior.
En otras universidades como la UESS (Universidad de Especialidades del Espíritu
Santo) se han observado casos de violación a la integridad de la información con
o sin fines de lucro como por ejemplo:
“Los hermanos Alfredo José y Luis Alberto Aráuz Muñoz, y el estudiante de
Informática de la UEES Kléber Julio Letamendi lograron ingresar al sistema
informático de la universidad y cambiaron las notas de 70 alumnos (EL
UNIVERSO, 2013)”
Dicha información es muy importante para las instituciones de educación superior
en general, ya que mide la excelencia académica y a su vez, calidad del recurso
humano del Ecuador.
5
SITUACIÓN CONFLICTO NUDOS CRÍTICOS
Esto surge por el bajo interés en la adquisición y/o actualización de nuevos
equipos de cómputo y de comunicaciones que son necesarios en la actualidad
para las diversas gestiones que se realizan en TI.
En lo que se refiere al personal docente de TI en la actualidad, no motivan a que
los estudiantes de la UG participen en proyectos de implementación e
investigación tecnológica. Además los encargados del área de TI deben ser
capacitados y actualizar sus certificaciones continuamente cuando los fabricantes
de las marcas publiquen sus nuevos contenidos, para todo lo anterior el encargado
debe pertenecer profesionalmente al área TI.
El servicio de internet para los estudiantes de la UG es libre y en ciertas ocasiones
no hay servicio, el cual debe ser aprovechado para fines investigativos y
educativos, y no para fines de ocio. El internet es la puerta del enlace al mundo y
por ende debe de estar correctamente administrado y controlado con mecanismos
de seguridad fiables que distribuyan correctamente el servicio de internet y
protejan la información y recursos de terceros.
CAUSAS Y CONSECUENCIAS DEL PROBLEMA
En el siguiente cuadro se detallan y enumeran las principales causas que originan
el problema de la falta de aplicación de normativas, lineamientos y criterios de
seguridad de la información y por ende las consecuencias que traería la
inexistencia de una arquitectura de seguridad para la red de datos de la UG.
Cuadro n° 1 Causas y consecuencias
No. CAUSAS CONSECUENCIAS
1 Personal TI no se ha
especializado en estándares de
seguridad.
Los recursos tecnológicos se
encuentran expuestos y
desprotegidos al acceso de personal
no autorizado.
6
2
Las autoridades no han
promovido los procesos de
actualización y capacitación
continua.
Personal TI se muestra desinteresado
en desarrollar proyectos de seguridad
para la UG.
3 Infraestructura tecnológica
obsoleta en la universidad.
Personal TI está limitado a no poder
implementar proyectos que ayuden a
asegurar la red local y externa.
4 Bajo interés en adquisición de
equipos de seguridades.
Imposibilita la aplicación de nuevos
proyectos de infraestructura y de
seguridad de la información.
5 Administración de seguridades
descentralizada en ciertas
facultades
Falencias en la administración,
soporte y gestión de recursos.
6 Terminales de trabajo y
laboratorios sin control
centralizado de acceso.
Información expuesta a personal no
autorizado y recursos no se
aprovechan a su totalidad.
7 Personal TI no proponen
proyectos tecnológicos para la
Universidad de Guayaquil.
Limitada motivación a la comunidad
estudiantil del área de computación y
redes para proponer diseños de
seguridad.
Fuente: Datos de la Investigación
Elaborado por: Víctor Emilio Silva Bajaña
DELIMITACIÓN DEL PROBLEMA
Campo: Universidad de Guayaquil Ciudadela Universitaria “Salvador Allende”
Área: Seguridad de la Información
Aspecto: Diseño de Arquitectura de Seguridad
Tema: “Diseño de un modelo de arquitectura de seguridad para la red de datos
de la Universidad de Guayaquil.”
7
FORMULACIÓN DEL PROBLEMA
¿En qué medida los mecanismos de seguridad de la información influyen
sobre la arquitectura de la red de datos de la Universidad de Guayaquil?
EVALUACIÓN DEL PROBLEMA
Los aspectos generales de evaluación son:
Delimitado: Se considera claramente circunscrito el proyecto, pues se enmarca
dentro de la Ciudadela Universitaria Salvador Allende de la Universidad de
Guayaquil.
Claro: El proyecto está desarrollado para que al momento de ser tomado en
cuenta por el especialista a cargo se le facilite la comprensión de lo investigado,
analizado y propuesto.
Relevante: Es muy importante debido a que estudios, estándares y fabricantes
avalan el cuidado de la información y acceso a la red.
Original: El proyecto, en cuanto a la metodología y modelamiento del diseño de
la arquitectura de seguridad aplicado al centro de cómputo y a las facultades de
la Ciudadela Universitaria Salvador Allende, es auténtico.
Factible: Se considera factible el estudio, ya que teniendo en cuenta los cambios
que se están efectuando en la Universidad de Guayaquil por los diversos
requisitos se debe cumplir y responder a la unidad interventora debe resguardar
su información, actualizar sus recursos físicos y lógicos de cómputo y dar solución
a sus falencias.
8
Variables:
Variable Independiente: Mecanismos de seguridad de la información.
Variable Dependiente: Diseño de la arquitectura de seguridad para la red de datos
de la Universidad de Guayaquil en la Ciudadela Universitaria Salvador Allende.
OBJETIVOS
Objetivo General
Proponer un diseño de arquitectura de seguridad a la Universidad de Guayaquil a
partir de modelos de arquitectura seguridad de la información según estándares y
lineamientos que requiere una red de datos, los mismos que están basados en las
necesidades de la institución para así fortalecer la integridad, confidencialidad y
disponibilidad de los recursos tecnológicos y la información.
Objetivos específicos
Analizar la información de los métodos de seguridad que se han aplicado
hasta la actualidad mediante una inspección previa.
Valorar los factores de riesgo aplicados a los pilares fundamentales de la
información de la red de datos de la institución.
Identificar la infraestructura, servicios y aplicaciones que se ejecutan en la
red interna y externa para definir los mecanismos y/o herramientas
recomendables.
9
Adoptar recomendaciones de ISO 27001:2013 e ISO 27002:2013 que
estén enfocados a la situación de la institución.
Determinar los mecanismos de seguridad que requiere la infraestructura
tecnológica de la Ciudadela Salvador Allende para el diseño de
arquitectura de seguridad propuesto.
ALCANCES DEL PROBLEMA
Se obtendrán los permisos y accesos para el levantamiento de información.
Se evaluarán los servicios, aplicaciones, número de usuarios simultáneos,
clasificación de la información y los riesgos que existentes de cada sitio de la
Ciudadela Universitaria Salvador Allende.
Se diseñará la arquitectura de seguridad para la red de datos de la Universidad
de Guayaquil en su Ciudadela Universitaria Salvador Allende ubicada en la
Ciudad de Guayaquil que cuenta con 13 facultades: Arquitectura y Urbanismo,
Ciencias Administrativas, Ciencias Agrarias, Ciencias Económicas, Ciencias
Matemáticas y Físicas, Ciencias Médicas, Ciencias Psicológicas, Ciencias
Químicas, Educación Física, Deportes y Recreación, Filosofía, Letras y
Ciencias de la Educación, Ingeniería Química, Jurisprudencia, Ciencias
Sociales y Políticas, y Odontología.
Se desarrollará un modelo de políticas de seguridad con el fin de fortalecer y
mantener la funcionalidad de los mecanismos de seguridad utilizados en el
diseño propuesto.
Se creará una matriz de riesgos que determine la calificación y criticidad de
cada problema, para poder mitigar los riesgos que brindará la solución
inmediata y sistemática de los problemas.
10
Se determinarán los beneficios que brinda la arquitectura de seguridad
propuesta en comparación con las seguridades actuales.
JUSTIFICACIÓN E IMPORTANCIA
Las organizaciones financieras, comerciales, administrativas, educativas entre
otras gracias a las tecnologías de la información sus actividades han mejorado
para bien. Con solo un dispositivo de cómputo y conexión a internet o con
interconexión remota un empresario puede estar en una reunión, un doctor
especialista puede hacer intervenciones quirúrgicas y un estudiante puede recibir
sus tutorías, hacer consultas y presentar sus proyectos, si alguna de las
actividades anteriormente detalladas es interrumpida por terceros no serviría de
nada la existencia de estas tecnologías, por esta razón es muy importante la
aplicación de mecanismos de seguridad tanto en empresas como en instituciones.
Las instituciones educativas del mundo se acoplan al cambio tecnológico para el
beneficio de sus estudiantes, promoviendo de esta manera la cultura científica e
investigativa. En Ecuador, se busca adoptar tecnología de vanguardia que poseen
otras universidades de primer mundo, las mismas que se interconectan entre sí
con diversos fines, dichas interconexiones sirven para que la información privada
sea transmitida de manera segura y confiable, así como la información pública sea
íntegra y veraz.
La adaptación de una arquitectura de seguridad en la red de datos de la
Universidad de Guayaquil es necesaria ya que en la actualidad no posee las
seguridades mínimas que requiere la información de una prestigiosa institución
superior en proceso de acreditación. La misma que además de la seguridad
necesita solventar los problemas que se han convertido en tradición para los
estudiantes, problemas como: generación de turnos ineficaz, inconsistencia en
períodos de matriculación, dificultad en obtener formatos de especies valoradas y
problemas con el servicio de matriculación.
11
La selección de los mecanismos de seguridad debe ser estratégica y deben ir
siempre acompañados a normas y lineamientos que estén aplicados en las leyes
ecuatorianas. Dichas normas y lineamientos deben de servir de soporte para el
desarrollo de una política de seguridad en base a las necesidades de la
Universidad de Guayaquil que, ayude a mantener en perfecto funcionamiento y
sobretodo que facilite la administración de los recursos tecnológicos y proteja la
información.
En base a (Lopez, 2007) que presentó una propuesta de arquitectura de seguridad
para la Universidad Simón Bolívar (Vargas-Venezuela), tomando en cuenta
modelos de arquitectura de seguridad, de las amenazas presentadas en aquel
entonces y sobre todo las necesidades que tiene dicha institución.
En cuanto a tecnología, al proponer una arquitectura de seguridad para una red
de datos es totalmente viable ya que actualmente contamos con fabricantes y
empresas de software que pueden suministrar herramientas y mecanismos para
cubrir la necesidad de adaptar o rediseñar un modelo de arquitectura de seguridad
en la Ciudadela Universitaria Salvador Allende de la Universidad de Guayaquil.
12
CAPÍTULO II
MARCO TEÓRICO
ANTECEDENTES DEL ESTUDIO
La Universidad de Guayaquil (UG), siendo la universidad con el mayor número de
estudiantes del Ecuador, cada día afronta nuevos riesgos y amenazas que
acompañan la implementación de nuevas tendencias tecnológicas y en el uso de
sus redes de datos que paulatinamente va cumpliendo con los requerimientos
tecnológicos para acreditarse ante el Consejo de Evaluación, Acreditación y
Aseguramiento de la Calidad de la Educación Superior (CEAACES) y elevar su
categoría en el ranking de Universidades de excelencia en el Ecuador.
Los riesgos de seguridad de información en Ecuador están en aumento, debido a
las incidencias de virus, hackers, robo, sabotaje y espionaje corporativo que están
siendo explotados con más frecuencia. Por su parte la gestión administrativa de
IT, contrarresta cada día las nuevas amenazas con un sin número de herramientas
tales como, Firewalls, IDS, IPS, Controles de Autenticación, Gestores de Archivos,
Antivirus y monitores de red y servicios y sniffers, los mismos que deberían ser
monitoreados constantemente por personal profesional calificado. Dichas
herramientas deben de ser utilizadas sistemática y estratégicamente,
conformando una arquitectura de seguridad para la red de datos de la UG que, en
conjunto de una matriz de riesgos y el plan de mitigación de los mismos aseguren
la continuidad del servicio, contrarresten las amenazas y minimicen las
vulnerabilidades.
El uso de las redes de computadoras en la Universidad de Guayaquil en las
facultades que conforman la Ciudadela Salvador Allende, proporciona una mayor
flexibilidad para el acceso y el intercambio de información y recursos tecnológicos
para el personal administrativo, docente y estudiantes. Existen muchas ventajas
13
para el uso y aplicación de las redes de computadoras, sin embargo mientras la
infraestructura crece, es probable que se pierda el control de los activos
tecnológicos y exponer información sensible a personal no autorizado. Por esta
razón es necesario la considerar una reestructuración de las estrategias de
defensa y una arquitectura de seguridad de la información adaptada a la
infraestructura de la UG para así mantener la integridad, confidencialidad y
disponibilidad de la información en la red de datos de la misma.
Ahora, la seguridad de la información es una consigna primordial de todos los que
conforman una organización, por ejemplo el área de TI de la Universidad de
Guayaquil, debería hacer conciencia desde cuando se le asigna a un estudiante,
docente o personal administrativo un computador ya sea de escritorio o portátil,
cada persona tiene la responsabilidad y el compromiso de mantener la
confidencialidad, integridad y disponibilidad de la información a la que él o ella
tiene acceso en las dependencias de la UG. Una arquitectura de seguridad de
información integrada (ISA) es el mecanismo para garantizar que todas las
personas tengan conciencia de que son responsables y que tienen que velar por
la protección de esos recursos.
FUNDAMENTACIÓN TEÓRICA
A continuación, en base a la teoría se detallan los conceptos principales para la
comprensión total del proyecto:
SEGURIDAD DE LA INFORMACIÓN
La seguridad de la información tiene por objetivo principal, establecer los controles
y medidas para minimizar el riesgo de pérdida de información y recursos del
sistema, la corrupción de datos, la interrupción del acceso a los datos, y la
divulgación no autorizada de información.
14
Desde la consolidación de Internet como medio de interconexión global,
los incidentes de seguridad relacionados con sistemas informáticos vienen
incrementándose de manera alarmante. Este hecho, unido a la progresiva
dependencia de la mayoría de organizaciones hacia sus sistemas de
información, viene provocando una creciente necesidad de implantar
mecanismos de protección que reduzcan al mínimo los riesgos asociados
a los incidentes de seguridad. (Galdámez, pág. 4)
En base a lo mencionado por Galdámez, la seguridad de la información se logra
a través de políticas eficaces, normas, y procedimientos que garanticen la función
de los pilares fundamentales de la seguridad de la información: confidencialidad,
integridad, y disponibilidad en la información, aplicaciones, sistemas y redes sólo
para usuarios autorizados.
Gráfico N° 1
Pilares fundamentales de la seguridad de la información
Fuente: http://seguridaddelainformacionudec.blogspot.com/
Elaborado por: Víctor Emilio Silva Bajaña
15
Confidencialidad
Se refiere a la protección de la información al acceso no autorizado,
independientemente del lugar donde reside la información o la forma en que se
almacena. La información que es confidencial, debe ser protegida a través
mecanismos de control estrictos. Autenticación y autorización son
dos mecanismos utilizados para asegurar la confidencialidad de la información.
Las políticas deben estar en su lugar para identificar qué información es
confidencial y el período de tiempo que debe permanecer confidencial. Las
mismas deben ser desarrolladas para la clasificación de la información de acuerdo
a sus características y también añadir requisitos de seguridad asociados para
cada clasificación de confidencialidad.
Integridad
Es la protección de la información, aplicaciones, sistemas y redes a los cambios
intencionales, no autorizados o accidentales. También es importante proteger a
los procesos o programas utilizados para manipular los datos.
La información debe ser presentada a los propietarios y usuarios de una
manera precisa, completa y oportuna. La clave para el logro de la integridad son
la aplicación y control de las políticas que proporcionan la separación apropiada
de funciones, así como las pruebas y la validación de los cambios que se hacen a
los sistemas y procesos.
También son importantes la identificación y autenticación de todos los usuarios
cuando accedan a información, aplicaciones, sistemas y redes a través de
controles manuales y automatizados de acceso.
Disponibilidad
Es la garantía de que la información y los recursos tecnológicos son accesibles
por usuarios autorizados, según sea necesario. Hay dos cuestiones relativas a la
16
disponibilidad:
La negación de servicios causada por la falta de controles de seguridad
(por ejemplo, la destrucción de datos o equipos a causa de virus
informáticos).
La pérdida de la información y los servicios tecnológicos debido a los
desastres naturales (por ejemplo, tormentas, inundaciones o incendios).
La pérdida de los servicios se aborda como parte del proceso de
planificación de la continuidad del negocio.
POLÍTICA, ESTÁNDARES Y PROCEDIMIENTOS DE LA SEGURIDAD
DE LA INFORMACIÓN
Gráfico N° 2 Trazabilidad ascendente – descendente políticas, estándares y procedimientos.
Fuente: http://www.ittrendsinstitute.org
Elaborado por: Víctor Emilio Silva Bajaña
17
“Las organizaciones gastan millones de dólares en firewalls y dispositivos de
seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón
más débil de la cadena de seguridad: la gente que usa y administra los
ordenadores.” (Kevin Mitnick).
En base a lo que dice Mitnick, es necesario controlar las actividades y roles del
personal de IT con Políticas, Estándares y Procedimientos de seguridad de la
información para de esta manera garantizar la continuidad de los recursos
tecnológicos y los datos.
Políticas de seguridad
Las políticas de seguridad son una forma de comunicación con el personal, ya que
las mismas constituyen un canal formal de actuación, en relación con los recursos
y servicios informáticos de la organización. Esta a su vez establece las reglas y
procedimientos que regulan la forma en que una organización previene, protege y
maneja los riesgos de diferentes daños, sin importar el origen de estos (UNIVO,
2008)
También se ocupan de las actividades de seguridad que incluye el diseño de los
controles en los sistemas de aplicación, estableciendo a los usuarios sus
privilegios de acceso, los riesgos a los que están expuestos, informar acerca de
la realización de investigaciones de delitos informáticos y además disciplinar a los
trabajadores acerca de violaciones de seguridad para la prevención de la
organización.
Estándares de seguridad
Un estándar de seguridad consiste en un conjunto específico de reglas,
procedimientos o convenciones que están acordadas entre las partes con el fin de
operar de manera más uniforme y eficaz. Por ejemplo, si cada departamento
tuviera que elegir una aplicación diferente de correo electrónico, sería muy difícil
18
comunicarse entre departamentos, porque no existe un protocolo establecido o un
acuerdo sobre cómo o qué comprar o cómo interoperar. Otro ejemplo es que si
todo el mundo en una organización escribió una carta sin ninguna orientación a la
organización, estas cartas deben ser descartadas.
Las normas establecen un nivel de expectativa que debe ser alcanzado o
superado mediante el cumplimiento de la propia obligación o responsabilidades;
también tienen un gran impacto sobre la aplicación de seguridad. Cuando las
normas no se han tomado en consideración relacionada a las implementaciones
de tecnología, puede afectar directamente al desempeño o rendimiento que es
necesario para cumplir los objetivos de seguridad de la empresa.
Procedimientos de seguridad
Son planes, procesos u operaciones que se ocupan de los detalles
de cómo hacer una acción particular. Permiten la transferencia de
conocimientos entre las personas que realizan el mismo trabajo, para cubrir al
personal durante los períodos de ausencia, o permitir un mayor conocimiento y
transición más suave durante los cambios de personal permanente. Los
procedimientos deben reflejar las mejores prácticas que se han establecido.
También deben reflejar mejoras que se han desarrollado a un proceso para
proporcionar la eficiencia en virtud de la naturaleza repetitiva de la realización de
una tarea específica. Los procedimientos son también una orientación, pero
normalmente responden a las preguntas más detalladas de dónde, cuándo y cómo
realizar las actividades propuestas.
ISO 27001:2013
La normativa ISO/IEC 27001 es la norma internacional única auditable que detalla
e indica los requerimientos mínimos para un SGSI (Sistema de Gestión de la
Seguridad de la Información). Dicha norma, se ha desarrollado con el fin de
garantizar las recomendaciones de los controles de seguridad, los mismos que
19
aseguran los activos tecnológicos y la información otorgando confianza a la
organización y a sus usuarios en general.
Es muy importante mencionar que esta norma solo hace referencia a
recomendaciones, mas no certifica. Estas recomendaciones están enlistadas en
el uso de 133 controles de seguridad totalmente diferentes que se pueden aplicar
a 11 áreas de control para la seguridad de la información. La ISO 27001 incluye
“Plan, Do, Check, Act” (PCDA) que en español seria “Planear, Hacer, Revisar y
Actuar” como método de mejora continua.
Planear: es la fase del modelamiento del SGSI, en la cual se definen los
controles adecuados de seguridad de la información como también, la
evaluación de riesgos.
Hacer: es la fase de implementación y puesta en marcha de los controles
de seguridad de la información.
Revisar: Es la fase de revisión y análisis del desempeño eficaz y eficiente
del SGSI.
Actuar: Es la fase de mejora continua en la cual se emplean modificaciones
para llevar el SGSI a su máximo rendimiento.
20
Gráfico N° 3
Modelo PHVA aplicado a los procesos del SGSI
Fuente: NTE INEN ISO/IEC 27001
Elaborado por: Víctor Emilio Silva Bajaña
ISO 27002:2013
La ISO 27002:2013 estándar de Tecnología de la Información – desarrollada para
la aplicación de Técnicas de la Seguridad - Código de Práctica para la gestión de
la Seguridad de la Información, es una guía de implementación y lineamientos de
controles, por lo que establece las directrices para iniciar, implementar, mantener
y optimizar la gestión de la Seguridad de la Información en la organización. La
misma nos presenta once principales cláusulas de control con sus respectivas
indicaciones de los objetivos de control y además varios controles por cada una
de sus cláusulas. (Normalización, Norma Técnica Ecuatoriana NTE INEN -
ISO/IEC 27000:2012, 2012)
21
SGSI
Es el conjunto de políticas fundamentales de administración y seguridad de la
información dentro de una entidad y es utilizado por la ISO/IEC 27001 para el
planeamiento, implementación y mantenimiento de un conjunto de procesos
sistemáticos para gestionar eficaz y eficientemente accesibilidad autorizada a la
información, asegurando la confidencialidad, integridad y disponibilidad de los
activos de la información minimizando los riesgos de seguridad de la información.
El SGSI como todo proceso de gestión, debe siempre funcionar eficientemente
durante un largo período de tiempo, adaptándose a los cambios de la organización
tanto internos como externos.
Ventajas de SGSI
Al implementar un SGSI en base a normas internacionales ISO 27001 trae consigo
las siguientes ventajas a la organización:
Garantiza el funcionamiento de los controles internos y cumple a cabalidad
los requisitos de gestión corporativa y continuidad del negocio.
Demuestra a los clientes la aplicación de leyes y normativas de seguridad
de la información que son de vital importancia y proporcionan de esta
manera una ventaja competitiva.
Ayuda a identificar, evaluar y mitigar los riesgos de la organización
gestionados en el tiempo, que formaliza la documentación y los
procedimientos a seguir para la protección de la información.
Denota el compromiso que existe de los directivos con la seguridad de la
información.
22
Indirectamente el proceso de evaluaciones periódicas ayuda a la
organización a supervisar el rendimiento y la mejora continua.
ARQUITECTURA DE SEGURIDAD
Es el arte sistemático de integrar y organizar mecanismos, servicios y funciones
de seguridad de la información estructurada en niveles, que establecen controles
basados en políticas, estándares y procedimientos, los mismos que ayudan a
identificar y así evitar los riesgos que aseguran la transmisión de la información y
los activos tecnológicos de una red de datos.
Gráfico N° 4 Componentes de una arquitectura de seguridad de la información.
Fuente: Killmeyer, J. (2006). Information Security Architecture. Second Edition,
Elaborado por: Víctor Emilio Silva Bajaña
23
OBJETIVOS DE UNA ARQUITECTURA DE SEGURIDAD
Proteger los datos a modificaciones no autorizadas.
Proteger a los datos frente a pérdidas.
Proteger los datos de divulgaciones.
Garantizar el acceso al emisor y receptor de los datos.
Logrando estos objetivos de una arquitectura de seguridad de la información
aseguramos correctamente transmisión de la misma.
Gráfico N° 5. Arquitectura de seguridad de la información.
Fuente: Killmeyer, J. (2006). Information Security Architecture. Second Edition,
Elaborado por: Víctor Emilio Silva Bajaña
24
ESTRATEGIAS A APLICAR EN UNA ARQUITECTURA DE
SEGURIDAD
Para modelar una arquitectura de seguridad es necesario considerar las
estrategias que se van a considerar en el diseño, a continuación se detallarán las
principales estrategias a aplicar en una arquitectura de seguridad para una red de
datos:
Seguridad en profundidad
Gráfico N° 6 Seguridad en capas.
Fuente: NTE INEN ISO/IEC 27001
Elaborado por: Víctor Emilio Silva Bajaña
En el diagrama podemos determinar que al tener varios niveles de defensa, si un
nivel se ve en riesgo no necesariamente implica que los otros niveles estén
25
comprometidos, pero es de vital importancia tomar en consideración que la
planificación de los procedimientos acciones o estrategias deben hacerse con la
suposición de que la seguridad de todas las capas también han sido
comprometidas.
Hay un sin número de mecanismos, tecnologías y estrategias de seguridad que
ayudan a asegurar los niveles de forma individual que previamente deben ser
analizadas para que apliquen en cualquiera de ellos.
Cabe mencionar que es muy importante tener en cuenta que cada acción de
protección que se tome tiene un costo, por lo cual se debe evaluar el valor de la
información y por consiguiente, los recursos tecnológicos a proteger y el impacto
que incide el perder información, la divulgación o alteración de la misma, para ello
se debe planificar las acciones pertinentes en un plan de mitigación de riesgos.
Se presenta a continuación un breve resumen de acciones o estrategias que
podrían aplicarse en cada capa:
Nivel de políticas, normas y concientización: Cursos y capacitaciones
de seguridad de la información a los usuarios de la organización.
Nivel de seguridad física: Acceso biométrico, bitácoras de acceso,
guardias de seguridad, video vigilancia.
Nivel seguridad perimetral: Seguridad en granja de servidores físicos y
de ambiente virtualizado tanto locales como DMZ.
Nivel de acceso a Internet: Tecnologías proxy HTTP, HTTPS, VPN, IDS
e IPS y políticas a nivel de jerarquía de usuarios.
Nivel de control de estaciones de trabajo: Auditoría constante de
configuraciones, utilización de gestores de archivos, autenticación y
control de usuarios por LDAP o Active Directory.
Nivel de control de aplicación: Prácticas de refuerzo de aplicaciones y
el software antivirus.
Nivel de control de datos: Mecanismos de autenticación, listas de control
de acceso (ACL) y cifrado.
26
Simplicidad
Mientras más grande y complejo sea una infraestructura de red tendrá más
errores, la administración se complicara y el tiempo en mitigar problemas será
impactante y probablemente posea brechas de seguridad no conocidas para el
administrador que un atacante puede explotar.
Es por ello, que la simplicidad de los sistemas de seguridad de la información es
muy importante para la defensa de una red de datos.
Control de acceso
Evita el uso de los recursos tecnológicos y la información de una organización a
personas no autorizadas, de esta manera, se controla quien puede tener acceso
a la información y recursos y bajo qué condiciones.
Principio de mínimo privilegio
Esta estrategia es una de las más importantes de la seguridad, consiste en
conceder a cada objeto sea usuario, programa o sistema, tenga privilegios o
permisos exclusivos para sus tareas o gestiones que se programaron para su rol
según la jerarquía organizacional de una entidad.
Así se evitarán los ataques y limitar las modificaciones en los datos. La principio
de mínimo privilegio está basado en la razón de que todos los servicios
informáticos de una organización están pensados para ser utilizados por algún
perfil de usuario con privilegios específicos, de esta forma se utiliza y se gestionan
de mejor manera las aplicaciones y servicios.
Para cada servicio es importante establecer cuidadosamente el objeto y los
privilegios que se le asignarán.
27
Escalabilidad
Es una característica de un sistema, modelo o función que describe su capacidad
para hacer frente y llevar a cabo en virtud de un aumento o ampliación de carga
de servicios informáticos. Un sistema que funciona bien será capaz de mantener
o incluso incrementar su nivel de rendimiento o eficiencia cuando se prueba por
las demandas operativas más grandes.
Aun asi una granja de servidores de una organización corriendo 24/7 con
disipadores de refrigeración, gabinetes cerrados e incluso la habilitación de
seguridad física, no brinda total tranquilidad al administrador de redes y queda el
temor constante de que la red y los datos podrían estar en peligro si el tiempo
equivocado o la persona equivocada se apoderaran de sus instalaciones.
Pero eso es sólo el comienzo, antes de una implementación de equipos de
cómputo en una infraestructura totalmente nueva o ya existente, debe
cuestionarse lo siguiente: ¿Cuándo su negocio crezca, está dispuesto a comprar
más servidores? ¿Serán compatibles con la infraestructura existente? ¿Cuál será
el costo de las unidades y la instalación? ¿Tiene espacio para ellos?
Es por ello que en el centro de datos se debe considerar siempre espacio para
crecimiento, que probablemente tenga la empresa en aumentar y actualizar su
infraestructura tecnológica.
Redundancia
La redundancia es un diseño de sistema en el que un componente se duplica por
lo que si se produce un error habrá una copia de seguridad o en pocas palabras
puede ser una salvaguardia. Los volúmenes de datos a menudo contienen
bloques de almacenamiento redundantes. Un proceso de duplicación podrá
eliminar estos bloques redundantes para reducir el consumo de almacenamiento
dentro del volumen o para minimizar el volumen de datos que deben ser
respaldados.
28
Muchas organizaciones pueden crear intencionalmente copias redundantes de
datos para minimizar el riesgo de pérdida de datos. Esta redundancia puede existir
como Máquinas Virtuales (VM) o volúmenes de almacenamiento, o como fuera del
sitio.
PROCEDIMIENTOS A SEGUIR PARA LA APLICACIÓN DE UNA
ARQUITECTURA DE SEGURIDAD
Al momento de implementar una arquitectura de seguridad en una red de datos
de una organización, podemos definir los siguientes pasos a seguir:
Inicialmente se debe definir el alcance que va a tener la arquitectura
analizando los requisitos u objetivos de seguridad que necesita la organización
en su red de datos en base a sus vulnerabilidades y amenazas de seguridad,
es decir, se definirá una política de seguridad.
Ya con la información levantada de los requisitos de seguridad se deben definir
los mecanismos de seguridad a utilizar para garantizar estos requisitos. La
puesta en marcha de estos mecanismos puede que se dificulte según la
tecnología de la red de datos, es decir, se debe tener en cuenta los tiempos
de retardo que le toma a uno de estos mecanismos, retransmisiones etc. Que
son costes que a la final garantizan el funcionamiento óptimo de una
arquitectura de seguridad.
Con los mecanismos de seguridad definidos para su posterior implementación
se debería definir la ubicación. Este punto es muy importante ya que por una
parte se debe analizar en qué lugar físico de la red de datos se van a situar y
por otro lado en qué lugar de la estructura de una arquitectura de
comunicaciones se situarían estos mecanismos.
29
CLASIFICACIÓN EN NIVELES DE SEGURIDAD
A continuación se especificarán las características de cuatro niveles de seguridad
con las siguientes denominaciones: Nivel A, Nivel B, Nivel C y Nivel D:
Nivel D es el sistema que tiene la más mínima protección o nula por lo que
no pasan los requerimientos mínimos de seguridad. Windows 3.1 y MS-
DOS se enlistan en este nivel puesto que fueron diseñados bajo un sistema
mono proceso y mono usuario y no proveen ningún tipo de control de
acceso ni de gestión de recursos.
Nivel C depende del acceso concedido que se le otorga a un usuario para
la gestión de recursos, estos mecanismos en otras palabras depende de
los privilegios que posea cada usuario en particular. Esto quiere decir que
un objeto o recurso puede estar disponible para lectura, escritura y/o
ejecución.
Nivel B representa el control de acceso estrictamente obligatorio, quiere
decir que los controles de acceso no se dejan a libertad de los usuarios o
dueños de los recursos tecnológicos, que obligatoriamente deben de
existir.
Nivel A es el Sistema de seguridad que garantiza el acceso a este nivel,
las políticas como los mecanismos de seguridad deben ser analizados,
verificados y certificados por un ente autorizado.
MÉTODOS DE ATAQUES MÁS COMUNES
Métodos de los ataques de internet comunes están divididos en categorías.
Algunos ataques se dedican al conocimiento o descubrimiento, información
personal, como espionaje y el phishing. Los ataques también pueden interferir con
la función prevista del sistema, tales como virus, gusanos y troyanos. La otra forma
30
de ataque es cuando los recursos del sistema son utilizados inútilmente, estos
pueden ser causados por la negación de servicio (DoS).
También existen intrusiones, tales como ataques smurf y ataques de lágrima.
Estos ataques son no tan conocidos como ataques de denegación de servicio,
pero son utilizados en una forma u otra.
Espionaje
La interceptación de comunicaciones de un ente no autorizado se llama
espionaje. El espionaje pasivo es cuando la persona única en secreto escucha los
mensajes en red. Por otro lado, la escucha activa es cuando el intruso escucha e
inserta algo en el flujo de comunicación. Esto puede conducir a los mensajes
distorsionados.
Malware
Los malware son programas de auto-replicación que utilizan archivos para infectar
y propagarse. Una vez que se abre un archivo, el virus se activará dentro del
sistema.
Worms
Un gusano es similar a un virus, ya que ambos son auto-replicante, pero el gusano
no requiere presentarse o ser descubierto para permitir su propagación. Hay dos
principales tipos de gusanos, gusanos de correo masivo y gusanos de red.
Gusanos de correo masivo utilizan el correo electrónico como medio para infectar
otros ordenadores. Los gusanos de red son un problema importante para la
Internet. Los gusanos de red seleccionan un objetivo y una vez que el gusano
accede al host de destino, puede infectar por medio de un troyano o de otro tipo.
31
Phishing
El phishing es un intento de obtener información confidencial de un individuo,
grupo u organización. Los usuarios de phishing denominados “phishers” revelan
datos personales, como números de tarjetas de crédito, en línea banca
credenciales, y otra sensible información
Ataques IP Spoofing
Spoofing significa tener la dirección del equipo que refleja la dirección de un equipo
de confianza con el fin de obtener acceso a otros ordenadores. La identidad del
intruso está oculta esto significa que es resulta difícil la detección y prevención.
Con la tecnología actual protocolo IP, los paquetes IP falsificados no pueden ser
eliminados.
Denegación de Servicio
Denegación de servicio es un ataque cuando el sistema que reciben demasiadas
peticiones no puede regresar la comunicación con los solicitantes. El sistema,
entonces consume recursos en espera del apretón de manos para completar.
Finalmente, el sistema no puede responder a más peticiones de representación
es decir se queda sin servicio.
32
MECANISMOS DE CONTROL Y SEGURIDAD DE LA INFORMACIÓN
Gráfico N° 7
Mecanismos de defensa de un sistema de información.
Fuente: International Journal of Network Security & Its Applications (IJNSA), IJNSA), Vol.5, No.5, September 2013
Elaborado por: Víctor Emilio Silva Bajaña
M1: DEFENSA TÉCNICA
La defensa técnica implica defensas que se utilizan en los ordenadores y redes
técnicamente, puede ser cifrado, cortafuegos, antimalware, y detección de
intrusiones.
33
Encriptación
La encriptación ofrece confidencialidad para el intercambio de información. La idea
básica de cifrado está transfiriendo el texto sin formato en texto cifrado para ocultar
la información de una persona no autorizada.
Por lo tanto, cifrado se considera como defensas técnicas que hacen que el
intercambio de información invisible para un atacante. Si la organización cuenta
con cortafuegos, anti virus, anti spyware y políticas de seguridad fuertes
intercambio de información no se asegura simplemente la información se
intercambia en texto. Por lo tanto, el cifrado ofrece confidencialidad.
Hay dos tipos de cifrado:
El primer tipo es el cifrado simétrico, conocido como cifrado convencional, o de
una sola clave de cifrado implica el uso de una llave entre las partes que se
comunican. Cuando dos entidades o partidos quieren comunicar que primero
deben ponerse de acuerdo sobre el uso de una clave a continuación, utilizando
esta clave para el cifrado y descifrado.
El segundo tipo de cifrado es el cifrado asimétrico, implica el uso de dos llaves
diferentes uno es una clave pública y el otro es una clave privada. Cuando dos
entidades o partidos quieren comunicar que primero deben cambiar su clave
pública y mantener sus claves privadas seguras. Por ejemplo, cuando una entidad
A quiere comunicarse de forma segura con otra entidad B, que cifrar un mensaje
con la clave pública de B luego enviarlo B, B descifra el mensaje con su clave
privada.
Hay muchos software y hardware en el mercado que admite ambos cifrados
simétricos y cifrados simétricos. Las organizaciones deben utilizar el cifrado para
garantizar la confidencialidad de los datos.
34
Firewall
Los firewalls son necesarios para asegurar el sistema de información de la
computadora. Hoy en día el servicio de Internet es necesario para las
organizaciones; que permite a los empleados contactar a personas de otras
organizaciones, búsqueda de información y gestionar sus labores.
Los Firewalls se consideran como primera línea de defensa para los sistemas de
información. La idea básica del firewall es proteger el sistema de información
contra el exterior y el interior de los ataques, por lo que trabaja mediante el filtrado
de paquetes de entrada y salida. En general, la mayoría de los servidores de
seguridad tienen dos políticas predeterminadas.
El primero es de descarte; significa que si un conjunto de paquetes que llega no
coincide con ninguna regla en iptables, se deberán descartar dichos paquetes.
El segundo es permitir; significa que si un paquete que llega coincide con alguna
regla en iptables va permitir que pase a la red interna. Por otra parte, hay dos tipos
de cortafuegos, firewall basada en paquetes y firewall basados en paquetes
statefull. - firewall basado también llamados filtrado de paquetes, funciona
mediante la inspección o control del IP presentada de cada paquete, entonces va
tomar una decisión sobre si se permite que el paquete a pasar o bien lo niegan
basándose en la dirección IP de la fuente, la dirección IP de la destino, el número
de puerto de origen ya sea TCP o UDP y el puerto de destino.
El iptables es un conjunto de reglas que han sido establecidas por el administrador
de red. Por ejemplo, el administrador de la red puede establecer una regla de
negar cualquier paquete viene formulario 192.168.1.10 con número de puerto 80.
Cuando este paquete llega al firewall, comprobará en las iptables para tomar la
decisión. El Firewall de paquetes es fácil de instalar, y complejo a la vez, porque
es necesario establecer reglas. El Statefull firewall proporciona futuro más relajado
por hacer el seguimiento de una conexión determinada; funciona en la capa de
transporte y las capas de aplicación.
35
El Statefull firewall inspecciona un paquete como el firewall de paquetes, pero
hace un seguimiento de la conexión TCP. Cuando un paquete llega comprueba el
paquete presentado, si el paquete coincide con la política que pasa, lo va a
agregar como una entidad a la iptables y realizara un seguimiento de la secuencia
TCP para proteger la sesión de los ataques.
Hay muchos de software y hardware de cortafuegos en el mercado hoy en día, y
como las golosinas, las empresas de seguridad que nunca dejarán de desarrollar
herramientas de seguridad. Los firewalls son uno de los instrumentos más
impotentes. Vale la pena mencionar que el firewall puede ser una característica
que se agrega al sistema de la operación, los routers y los puntos de acceso. Por
ejemplo, la mayoría de los sistemas operativos han integrado su propio firewall,
pero los usuarios pueden activarlo como desactivarlo.
Anti-malware
Proporcionan protección para los sistemas operativos contra el software malicioso.
Lucha contra el malware puede ser anti-virus o anti-spyware. El malware puede
ser encontrado en los archivos, programas ejecutables, y el sistema de operación.
Por lo tanto, los sistemas de información de computadoras deben tener efectos
anti malware.
Tipos de Malware
Existen varios tipos de malware que amenazan la estabilidad de nuestro sistema
operativo y a su vez ponen en riesgo a la información que contengan nuestros
sistemas informáticos, a continuación se enlistan los más relevantes:
Virus clásicos. Son programas que infectan a otros programas y muchas veces
documentos que por añadir su código para tomar el control sobre los mismos
después de su ejecución tienen como resultado a archivos infectados. El objetivo
de un virus es infectar y por consecuente causar daño al propietario del
computador o sistema informático.
36
Gusanos de red. Este tipo de malware utiliza los recursos de red para distribuirse
en ella. Su nombre se debe a que pueden penetrar de un equipo a otro como un
simple gusano. Se puede propagar por medio de correo electrónico, sistemas de
mensajes instantáneos, red de archivos compartidos (P2P), canales IRC, redes
locales, redes globales, etc. Su velocidad de propagación es demasiado alta.
Al violar la seguridad de un equipo, el gusano obtiene las direcciones de otros
equipos en la red para empezar a replicarse. También suelen usar los datos del
libro de contactos del cliente de correo electrónico para propagarse por este
medio. La mayoría de los gusanos se propagan en forma de archivos pero existe
una pequeña cantidad de gusanos que se propagan en forma de paquetes de red
y penetran directamente la memoria RAM del equipo víctima, donde a
continuación ejecutan su código restándole rendimiento al mismo.
Caballos de Troya, troyanos. Este tipo de programas maliciosos incluyen una
variedad de programas que realizan acciones sin que el usuario se dé cuenta y
sin su consentimiento: recolectan datos y los envían a los criminales; destruyen o
alteran datos con intenciones netamente delictivas, causando desperfectos en el
funcionamiento del computador o usan los recursos del mismo para fines
criminales, como hacer envíos masivos de correo no solicitado entre otros.
Cabe mencionar que no son virus clásicos porque no infectan otros programas o
datos. Los troyanos no pueden penetrar a los equipos por sí mismo, sino se
propagan por los criminales enmascarados como programas fiables. Son capaz
de causar mucho más daño que los virus clásicos.
Spyware. Este tipo de software que permite colectar la información sobre un
usuario u organización de forma no autorizada. Su presencia puede ser
completamente invisible para el usuario e casi indetectable para el administrador
de red. Pueden recolectar los datos sobre las acciones del usuario, el contenido
del disco duro, software instalado, calidad y velocidad de la conexión, etc.
Pero esta no es su única función. Son también conocidos por lo menos dos
programas (Gator y eZula) los mismos que permiten también controlar el equipo.
Otro ejemplo de programas espías son los programas que instalan su código el
37
navegador de Internet para re direccionar el tráfico. Posiblemente haya visto cómo
funcionan, cuando en cambio de la página web solicitada se abre una otra.
Adware. Son aquellos que muestran publicidad al usuario. La mayoría de
programas Adware son instalados a software distribuido gratis sin que el usuario
se dé cuenta. La publicidad aparece en la interfaz. A veces pueden recolectar y
enviar los datos personales del usuario.
Riskware. No son considerados programas maliciosos pero contienen una
amenaza potencial. En muchas ocasiones ponen sus datos a peligro. Incluyen
programas de administración remota, marcadores, etc.
Rootkits. Es una colección de programas usados por un hacker para evitar ser
detectado mientras busca obtener acceso no autorizado a un computador. Esto
se logra de dos formas: reemplazando archivos o bibliotecas del sistema; o
instalando un módulo de kernel. Luego instala el rootkit después, obteniendo un
acceso similar al del usuario local: por lo general, alterando una contraseña o
explotando una vulnerabilidad, lo que permite usar otras credenciales hasta
conseguir el acceso de raíz o administrador.
Sistemas Detectores de Intrusos (IDS)
Detección de intrusiones proporciona advertencias en tiempo real para el sistema
de información de la computadora mediante el monitoreo y análisis de los intentos
de acceso a cualquier sistema. Detección de intrusiones se disparará una alarma
cuando los atacantes tratan de explotar las vulnerabilidades de software para la
apertura de una puerta trasera en el mismo.
En general, detección de intrusiones se puede clasificar en la detección de
intrusiones basado en host y detección de intrusiones basado en red. Detección
de intrusiones basado en host agrega una capa adicional de seguridad para un
host. Se utiliza la información del sistema operativo para determinar ataques como
usuario inicia sesión y la actividad de software.
38
Detección de intrusiones basado en red (NID) está monitoreando el tráfico de red
en algún lugar en una red. Se comprueba cada paquete para detectar el tráfico
ilegítimo. El NID puede monitorear la actividad de la red en su capa de transporte.
Por lo general, el NID tiene sensores y uno o más servidores para en una red, los
sensores se utilizan para controlar el tráfico en una ubicación diferente en la red y
los servidores se utiliza para gestionar los sensores.
En general, hay dos técnicas para la detección de intrusiones, detección de
anomalías y la detección de la firma. La detección de anomalías está reuniendo
información relacionada con el comportamiento de los usuarios a continuación, el
análisis que determine si el comportamiento es legítimo o no. El segundo enfoque
es la detección de la firma, que intenta establecer normas o patrones de ataque
para determinar si es legítimo o no. Por lo tanto, los sistemas de información de
computadoras deben tener uno o más de detección de intrusiones.
M2: DEFENSA DE FUNCIONAMIENTO
La defensa operacional tiene un papel importante en la gestión de la seguridad de
los sistemas informáticos de información. Por lo tanto, incluso si las
organizaciones han aplicado técnicas de seguridad a su sistema de información
de la computadora como el cifrado, firewalls y detección de intrusos, que necesitan
para establecer políticas de seguridad para el sistema. Por lo general, las
defensas de operación incluyen dos enfoques. El primer enfoque es la creación
de políticas de seguridad para el sistema de información de la computadora.
La política de seguridad tiene un papel importante en términos de gestión de
seguridad de la información para la implementación del sistema de información de
la computadora.
La política de seguridad se compone de documentos que no proporcionan detalles
técnicos y de ejecución. Sólo proporciona normas de gestión para el sistema de
información de la computadora. El segundo enfoque es la capacitación del
personal interno.
39
M3: DEFENSA DE GESTIÓN
Implica poner normas para la contratación de personas. Por ejemplo, una amplia
verificación de antecedentes y una extensa revisión de antecedentes de
seguridad. La importancia de la verificación de antecedentes vienen desde el
siguiente ejemplo, si una organización contrata a una persona inadecuada a la
sarna del sistema de información de la computadora, él o ella puede hacer mal
uso de la configuración y la puesta en práctica que conlleve a abrir agujeros o
puertas traseras en CBIS como resultado esta persona se convierten en una
amenaza para el sistema. (Balaguer, 2012)
También, la verificación de antecedentes de seguridad es muy impotente porque
si una organización contrata a una persona no ética, él o ella pueden vender la
información de la organización a otra organización.
M4: LA DEFENSA FÍSICA
Involucra a las defensas de los activos físicos. La defensa física es importante por
dos razones. Primera razón, el equipo físico es muy expansivo. La segunda razón,
cualquier daño para el equipo puede causar la pérdida de datos. Además, la
defensa física proporciona protección a los sistemas informáticos de información
contra los desastres naturales, fallas técnicas, y humanas. Los desastres
naturales son una de las amenazas más peligrosas para el sistema de información
del ordenador, por ejemplo, el huracán puede causar daños físicos a los equipos
por el viento fuerte y objetos voladores. Otro ejemplo, el terremoto también causa
daños a los equipos físicos.
Por lo tanto, una organización puede utilizar fuera de material de obra. Fallas
técnicas tales como sobretensión eléctrica, baja tensión eléctrica, y la interrupción
eléctrica se consideran como amenazas para el sistema de información del
ordenador. Cuando el ordenador y los sistemas de información reciben menos
tensión de lo que necesitan para trabajar normalmente. Sobretensión eléctrica
40
ocurre cuando los sistemas de información informáticos reciben alta tensión de lo
que necesitan para trabajar.
Para ello una organización puede utilizar soporte por los generadores. Un humano
puede causar amenazas inusuales e impredecibles en los sistemas de información
de la computadora.
La amenaza humana se puede clasificar en tres categorías; acceso físico no
autorizado, robo y mal uso. La primera categoría es el acceso físico no autorizado,
se produce cuando una persona no autorizada tiene acceso a las áreas
restringidas para la copia de los datos o uso indebido. La segunda categoría es el
robo, lo que significa el robo de equipos y documentos oficiales. Por lo tanto, la
organización debería haber restringido reglas para acceder a los lugares
deseados. Y como tercera categoría tenemos el mal uso de la información de
personas u organizaciones.
PROCESO DE EVALUACIÓN DE RIESGOS
Gráfico N° 8
Proceso de evaluación de riesgos de seguridad de la información
Fuente: www.sigea.es
Elaborado por: Víctor Emilio Silva Bajaña
41
Durante una evaluación del riesgo es esencial establecer el negocio y el contexto
técnico del sistema de información que se está revisando. Establecer el contexto
asegura que los objetivos de las empresas son capturados y que se consideran
los factores internos y externos que influyen en los riesgos. También establece el
ámbito de aplicación para el resto del proceso.
Contexto de negocios
Reunirse con el propietario de la empresa del sistema de información para
establecer el contexto empresarial.
Durante la reunión, el propietario de la empresa es responsable de identificar y
definir los siguientes aspectos:
• Información Clasificación - La información oficial almacenada, procesada y / o
transmitida por el sistema de información debe asignar una clasificación oficial.
• Procesos de negocio soportados – Son los procesos y objetivos de negocio
con el apoyo del sistema de información. Esto debe incluir cualquier secundaria,
dependientes o el apoyo a los procesos.
• Los usuarios del sistema - Los diferentes tipos de usuarios del sistema de
información. Esta debe incluir el nivel de privilegios que necesitan para realizar
sus funciones o utilizar el sistema. Los usuarios pueden incluir los usuarios de
negocio, personal de operaciones y externa usuarios de los servicios, tales como
los miembros del público o el personal de otra agencia.
• Seguridad y Cumplimiento de Requisitos - La confidencialidad, integridad,
disponibilidad y de privacidad requisitos del sistema, junto con todas las leyes
pertinentes y / o regulaciones que deben ser satisfechas por ella.
• Prioridades de protección de la información - La priorización del dueño del
negocio de la confidencialidad, integridad y disponibilidad de la información
almacenada, procesada o transmitida por el sistema de información.
42
Contexto técnico
Establecer el contexto técnico de proporcionar un conocimiento básico de la
postura de seguridad del sistema de información. Una evaluación de riesgos se
puede realizar para un sistema de información que ya está en producción o como
parte del ciclo de vida de desarrollo de un nuevo sistema de información.
A continuación se proporciona orientación sobre quién debe participar en el
establecimiento del contexto técnico:
• Propietario uso - dueño del servicio (o su delegado designado) es responsable
de la identificación de los componentes y la definición de los límites de un sistema
de información que es el alcance de la evaluación de riesgos.
• Arquitecto de soluciones tecnológicas - El arquitecto es responsable de la
identificación de los componentes y que definen los límites de un sistema de
información que está dentro del alcance de la evaluación de riesgos.
• Expertos en la materia – Las operaciones de TIC del personal responsable del
apoyo continuo y el mantenimiento del sistema de información que está dentro del
alcance del riesgo evaluación.
Las discusiones de contexto técnicos deben centrarse en la identificación de los
siguientes atributos del sistema de información para proporcionar una
comprensión del perfil de seguridad global del sistema:
• Arquitectura lógica - Una vista a nivel de sistema y de los componentes de la
lógica arquitectónica del sistema de información. Esto debe incluir los dominios de
seguridad donde se encuentran los componentes del sistema, las interfaces de
sistemas y flujos de información (es decir, dónde y cómo se almacenan los datos,
transmitida y procesada).
• Componentes del sistema - Se deben incluir todos los componentes directos e
43
indirectos incluyendo servidores, switches, firewalls, sistemas operativos,
aplicaciones y bases de datos.
Identificación de riesgos
La fase de identificación de riesgos busca crear una lista completa de eventos que
pueden impedir, degradar o retrasar la consecución de los objetivos de una
organización. La identificación completa de riesgos es fundamental porque el
riesgo que no se identifica en esta etapa no se incluirá en la fase de análisis de
riesgos.
Aunque hay numerosas herramientas y técnicas que se pueden utilizar para
facilitar la identificación y el análisis de riesgos.
Con el fin de gestionar el riesgo, las posibles amenazas a los sistemas de
información deben ser identificadas. Esto se consigue mediante la definición de
escenarios de riesgo. Los escenarios de riesgo son métodos para determinar si
existen riesgos que podrían adversamente afectar la confidencialidad, integridad
o disponibilidad del sistema de información y por lo tanto afectar a los objetivos de
negocio. Generalmente se trata de una amenaza a explotar una vulnerabilidad que
resulta en un resultado no deseado.
A continuación se ofrece una visión general de las técnicas que se deben utilizar
para garantizar que las listas completas de los riesgos relevantes se identifican:
Las personas con los conocimientos adecuados deben participar en la
identificación de riesgos. Las discusiones deben incluir el dueño del
negocio y sub-expertos en la materia, que pueden proporcionar
información pertinente y actualizada información durante el proceso; y
Debates y talleres en grupo para facilitar la identificación y análisis de los
riesgos que puedan afectar a los objetivos de las empresas.
Cuando la identificación de riesgos, es importante describir claramente
para que pueda ser evaluado.
44
Por ejemplo:
Un pirata informático obtiene acceso no autorizado a la información
almacenada en el sistema mediante la realización de un ataque de fuerza
bruta adivinar la contraseña. Ellos usan la información para cometer fraude
de identidad que lleva a una investigación por el Administrador se
Seguridades, y daños a la reputación de la organización. El ataque tiene
éxito porque el sistema no hace cumplir las contraseñas fuertes o cuenta
las políticas de bloqueo y no registra los intentos fallidos de inicio de
sesión.
La pérdida de un ordenador portátil lleva a que se revele la información
oficial a un tercero no autorizado, y daño a la reputación de personas
internas ya la organización.
Una vez que la descripción del riesgo se ha definido y documentado consideración
se debe dar a los conductores de riesgo. La captura de los conductores de riesgo
es útil en la identificación y selección de controles para manejar el riesgo.
El negocio y el contexto técnico normalmente informan a los conductores de
riesgo, por ejemplo, un riesgo solamente puede existir debido a que el sistema de
información está orientada a Internet. Es importante tener en cuenta también que
puede haber varios controladores de riesgo relacionados con un riesgo.
A continuación se enlistan los principales factores de riesgo:
Ambientales: son todos los desastres naturales o fenómenos externos tales como
lluvias, terremotos, rayos, tormentas, suciedad, la humedad, el calor entre otros.
Tecnológicos: son las fallas de software y/o harware, fallas en el sistema de
climatización, falla en el servicio eléctrico, infección de sistemas y servicios
tecnológicos por virus informáticos, etc.
45
Humanos: sabotaje, robo, fraude, adulteración. Modificación. Revelación, pérdida
y alteración de la información y divulgación de contraseñas,
Análisis de riesgos
Una vez que los riesgos relevantes se han identificado la probabilidad y el impacto
de ellos eventualmente deben ser evaluados y valorados. Normalmente, la
probabilidad y el impacto de un riesgo eventual son calificados en una escala
cualitativa
Evaluación de impacto
Evaluar el impacto del riesgo ocasional sin controles establecidos. Esto informará
la calificación bruta de riesgos y permite que la eficacia de los controles actuales
reduzca el impacto de un evento de riesgo que se produce a evaluar.
Aunque puede haber múltiples declaraciones de impacto documentados para un
riesgo, solo un impacto puede ser asignado al riesgo. Como resultado, la
declaración de impacto más alta puntuación se debe utilizar para determinar la
calificación de impacto de un riesgo.
Posibilidad de riesgo
Evaluar la posibilidad de que el riesgo este en ocasiones sin controles en el lugar,
esto informará la calificación bruta de riesgos y permitirá que la eficacia de los
controles actuales que reducen la probabilidad de un evento de riesgo ocurra y
debe ser evaluada la frecuencia de ocurrencia de un incidente información que
debe ser usado para ayudar a determinar la probabilidad del riesgo ocasional. Sin
embargo, hay que señalar que la ausencia de tal información no significa
necesariamente que la probabilidad de que el riesgo ocurra, es bajo. Puede que
simplemente indican que no hay controles para detectar que se ha producido.
46
Calificación de riesgo
La calificación de riesgo se evalúa utilizando una matriz de riesgos que se puede
utilizar para asignar la probabilidad con la calificación del impacto, la valoración
global del riesgo de ser el punto donde se cruzan las dos clasificaciones.
Por ejemplo:
• Un riesgo con probabilidad de casi nunca, y la calificación de impacto moderado
daría lugar a una calificación de riesgo global de 6.
•Un riesgo con una calificación de riesgo de posibles, y una calificación de impacto
severo daría lugar a una calificación de riesgo global de 22.
• Un riesgo con una calificación de riesgo de casi seguro y una calificación de
impacto de menor, daría lugar a una calificación de riesgo global de 16.
La calificación de riesgo y sin ningún tipo de control en el lugar se llama el riesgo
grave. Normalmente los riesgos que se evalúan como 1 a 3 en la escala de
calificación y sin ningún tipo de control en el lugar, se consideran aceptables para
el negocio y pueden no requerir la implementación de controles para su gestión.
Sin embargo, debido a los riesgos rara vez es estática que deben añadirse a
registro de riesgos de la agencia para que puedan ser monitoreados y re-
evaluados con regularidad para asegurarse de que la probabilidad y / o el impacto
no cambian.
Controles de Identificación y Evaluación
Independientemente de si se está realizando la evaluación del riesgo de un
sistema de información que hay en la producción o como parte del proceso de
ciclo de vida desarrolle un nuevo sistema de información que servirá de control
para reducir la probabilidad y / o el impacto de algunos de los riesgos que han sido
identificados.
47
Un control puede reducir el riesgo mediante la reducción de la probabilidad de un
evento, el impacto o ambos. Evaluar el efecto de que el control tiene sobre el
riesgo global lleva a la determinación de la calificación de riesgo residual.
Normalmente los controles preventivos reducen la probabilidad de un riesgo
ocasional mientras que los controles correctivos reducen el impacto en caso de
que se ocasione.
A continuación se ofrece una breve descripción y algunos ejemplos para cada tipo
de control se destacan en el Grafico No 9:
Gráfico No. 9
Tipos de control de riesgo.
Fuente: Killmeyer, J. (2006). Information Security Architecture. Second Edition,
Elaborado por: Víctor Emilio Silva Bajaña
• Controles disuasorios - están destinados a desalentar a un potencial atacante.
Por ejemplo, el establecimiento de una política de seguridad de la información, un
mensaje de advertencia en la pantalla de inicio de sesión o cámaras de seguridad.
• Controles preventivos - están destinados a minimizar la probabilidad de que se
48
produzca un incidente. Por ejemplo, un proceso de gestión de cuentas de usuario,
servidor de restricción de acceso a la sitios no autorizado, la configuración de
reglas adecuadas en un servidor de seguridad o la implementación de una lista de
control de acceso en un recurso compartido de archivos.
• Controles de detectives - pretenden identificar cuando se ha producido un
incidente. Por ejemplo, la revisión de servidor de seguridad o firewall troncos o
Intrusion Detection System (IDS) de alertas.
• Controles correctivos - están destinados a fijar los componentes del sistema de
información después de que se ha producido un incidente. Por ejemplo, las copias
de seguridad de datos, envío de registro de transacciones de SQL o continuidad
del negocio y los planes de recuperación de desastres.
Evaluación de riesgos
Una vez que el análisis de riesgos se ha completado los riesgos residuales pueden
ser evaluados contra los niveles de tolerancia al riesgo de la agencia. Evaluación
de riesgos busca ayudar al propietario de la empresa en la toma de decisiones
sobre el tratamiento de riesgos y la prioridad para la implementación de una
respuesta a los riesgos.
Los riesgos residuales en una escala de calificaciones se consideran en general
que presente un nivel aceptable de riesgo para el negocio y no requieren ninguna
evaluación adicional. Sin embargo, porque el riesgo es raramente estática que
deben añadirse a registro de riesgos de la agencia para que puedan ser
supervisados y evaluados con regularidad para asegurarse de que la probabilidad
y el impacto no cambian.
Todos los riesgos residuales que se evalúan en la escala de calificación deben ser
evaluados y priorizados. Normalmente cuanto mayor sea la calificación de riesgo,
mayor es su criticidad.
49
Sin embargo, puede haber dos o más riesgos con la misma calificación de riesgo.
Si no está claro qué riesgos tiene una mayor prioridad de las prioridades de
protección de información definidos por el propietario de la empresa al establecer
el contexto de negocios para el sistema debe ser utilizado para determinar la
prioridad para la implementación de controles adicionales.
Matriz de riesgo
La Matriz de Riesgo es también popularmente conocida como la Matriz de
Probabilidad e Impacto. Se utiliza durante la evaluación de riesgos y nace durante
el Análisis Cualitativo de Riesgos en el proceso de Gestión de Riesgos. Es una
herramienta muy eficaz que se podría utilizar con éxito con la Alta Dirección para
crear conciencia y aumentar la visibilidad de los riesgos para que las decisiones
de sonido en ciertos riesgos se pueden hacer en su contexto.
FUNDAMENTACIÓN LEGAL
INFORMACIÓN Y DATOS.
Ley de protección de datos personales
En cuanto a lo establecido en la Base Constitucional en el Art. 66 de la
Constitución de la República del Ecuador, en su parte pertinente dispone lo
siguiente:
“….Se reconoce y garantizará a las personas: El derecho a la protección de datos
de índole personal, que incluye la concesión del acceso y la decisión sobre
información y datos de este carácter, así como su resguardo.
La recolección, de archivo, de procesamiento, de distribución o de difusión de
estos datos de información necesitan de la autorización del titular y también del
mandato de la ley”,
50
Ley de comercio electrónico, firmas electrónicas y
mensajes de datos.
Establece la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de
Datos, en el Capítulo I DE LOS MENSAJES DE DATOS.
En su Art. 5 en su parte pertinente dispone:
“Confidencialidad y reserva.- Se denota el principio de confidencialidad y reserva
para los mensajes de datos, cualquiera sea su medio, forma o intención. Todo
sabotaje a estos principios, en especial aquellos referidos a la intrusión
electrónica, transferencia ilegal de mensajes de datos o violación del secreto
profesional, será severamente sancionada conforme a lo dispuesto en esta Ley y
demás normas vigentes”.
El Art. 9 en la parte pertinente indica:
“Protección de datos.- Para la utilización, modificación y transferencia de una base
de datos obtenida ya sea directa o indirectamente necesita la debida autorización
del titular del mismo quien decidirá qué información comparte con terceros;
información que puede ser total o parcial
El uso y recopilación de los datos personales responde a los derechos de
privacidad, confidencialidad e intimidad que son garantizados por la Constitución
Política de la República del Ecuador y esta ley, denota que información podrá ser
utilizada o transferida solo con la autorización del titular o autoridad competente”
Lo establecido en el Reglamento a la Ley de Comercio Electrónico, Firmas
Electrónicas y Mensajes de Datos.
En el Art. 20 en su parte pertinente indica:
“Información al usuario.- La información de accesos o uso de los programas o
equipos que se requieren para acceder a los servicios o aplicaciones deberá ser
51
previamente proporcionados mediante medios de comunicación electrónica o
algún material físico, en el caso de que sea material físico deberá ser confirmada
la recepción de dicha información por el usuario”
En el Art. 21 en su parte pertinente dispone:
“De la seguridad de la información en la prestación de servicios electrónicos.- La
prestación y/o alquiler de servicios electrónicos que se inmiscuya el envío por
parte del usuario de información confidencial, necesita la aplicación de sistemas
de seguridad de la información durante la prestación del servicio. Es obligación
del responsable de la prestación de servicios, el informar en detalle a los usuarios
sobre el tipo de seguridad de la información que utiliza, sus alcances y las
limitaciones, así como sobre los requisitos de seguridad exigidos legalmente y si
el sistema puesto a disposición del usuario cumple con los mismos. En el caso de
no contar con mecanismos de seguridades o aplicación de criterios de los mismos
se deberá de informar a los usuarios de la institución de este hecho de forma clara
y anticipada de los posibles riesgos los cuales puede incurrir por falta de
seguridades”.
Ley de propiedad intelectual
En base a la Ley de Propiedad Intelectual, En el Art. 183 en su parte pertinente
indica:
“…Se asegura la información que no está divulgada pero si relacionada a) La
información será confidencial entendiendo que como conjunto o en la composición
precisa de sus elementos y en configuración no sea conocida en general ni
accesible a las personas integrantes del circulo que normalmente gestionan el tipo
de información que se trate ;”
Está planteado como protección de información el conocimiento tecnológico
conformado por los procedimientos de fabricación y producción general.
52
En su Art. 190 en su parte pertinente dispone:
“Todas las personas que con el motivo de su trabajo, empleo, puesto y
rendimiento, tenga acceso a una información no divulgada, deberá de abstenerse
de utilizarla a su conveniencia aun cuando sus funciones hayan cesado”.
NTE INEN - ISO/IEC 27000: 2013.
Basándonos según la Norma Técnica Ecuatoriana NTE INEN - ISO/IEC
27000:2013.
“La información digital es considerado un activo, al igual que los activos
importantes del negocio como lo es la infraestructura tecnológica, es esencial para
el negocio que la misma este protegida apropiadamente. La información puede
ser almacenada de muchas maneras incluyendo: en forma digital (por ejemplo,
archivos de datos almacenados en medios electrónicos u ópticos), en forma
material (por ejemplo, sobre papel), al igual que información sin representación
como el conocimiento de los empleados. La información puede ser transmitida por
diversos medios como correo electrónico o gestores de archivos. Sea cual sea el
tipo de información que contenga una organización debe de estar protegida.
Estas tecnologías son esenciales en toda organización y ayudan a facilitar la
creación, el procesamiento, el almacenamiento, la transmisión, la protección y la
destrucción de la información. Cuando una empresa u organización crece en
cuanto a clientes y el negocio se amplía, de igual manera es la necesidad de
proteger la información, por ende está ahora desprotegida a una variedad más
amplia de amenazas y vulnerabilidades”.
Seguridad de la información
Según la Norma Técnica Ecuatoriana NTE INEN - ISO/IEC 27000:2013, mayor
información se encontrará en:
53
“La seguridad de la información está conformada por tres pilares fundamentales:
confidencialidad, disponibilidad e integridad. Con el propósito de asegurar la
operación y su continuidad del negocio, y para minimizar los impactos y
catástrofes, la seguridad de la información implica la aplicación y gestión de
medidas de seguridad y administración apropiadas para una red de computadores
que involucran la consideración de una gama de amenazas.
La seguridad de la información se cumple mediante la aplicación de contarles,
seleccionados a través de una matriz de riesgo previamente analizada y gestando
un SGSI basado en políticas, lineamiento, procedimientos y hardware y software
para así proteger los activos identificados. Estos controles deben ser identificados,
implementados, monitoreados frecuentemente, revisados y mejorados donde y
cuando sea necesario, para así asegurar que los objetivos de la seguridad de
cumplan a cabalidad.
PREGUNTAS CIENTÍFICAS A CONTESTARSE
¿Constituye la propuesta de un modelo de arquitectura de seguridad la solución a
las falencias de seguridad de la Universidad de Guayaquil en su Ciudadela
Universitaria Salvador Allende?
¿Cómo incide la aplicación de un modelo de arquitectura de seguridad integrada
en la red de datos de la Universidad de Guayaquil?
¿El modelo de arquitectura de seguridad propuesto, facilitará la gestión
administrativa a los encargados de las redes de datos?
54
VARIABLES DE LA INVESTIGACIÓN
Las variables a utilizar en este proyecto son las siguientes:
Variable Independiente: Mecanismos de seguridad de la información.
Se seleccionará los mecanismos de seguridad en base a casos de estudios
similares, normas internacionales que sustenten la investigación, políticas de
seguridad y criterios de seguridad de la información.
Variable Dependiente: Diseño de la arquitectura de seguridad para la red de
datos de la Universidad de Guayaquil en la Ciudadela Universitaria Salvador
Allende.
Se modelará el diseño propuesto de arquitectura de seguridad con el fin de
proteger los activos tecnológicos, asegurando la información y garantizando la
disponibilidad de los mismos.
DEFINICIONES CONCEPTUALES
Control: Un tratamiento de riesgos implementado para reducir la probabilidad y /
o impacto de un riesgo.
Impacto: Consecuencia de una causa previa.
Probabilidad: La posibilidad de que ocurra un evento.
Riesgo: El efecto de la incertidumbre en los objetivos de negocio. El efecto
puede ser positivo o negativo. Sin embargo, en el contexto de
seguridad de la información por lo general es negativa.
Amenaza: La posible causa de un riesgo.
55
Vulnerabilidad: Una debilidad en un sistema de información o servicio que puede
ser explotado por una amenaza.
Ataque informático: Es el método por el cual un individuo estabiliza, toma el
control, hurta o daña un recurso o sistema informático.
Autorización: Es una parte del sistema operativo que asegura los recursos del
sistema permitiendo que solo lo usen las personas que se les ha otorgado el
privilegio de acceder al mismo.
Control de acceso: Consiste en la verificación de identidad de una entidad
autorizada como por ejemplo un usuario o un ordenador.
Contingencia: En informática, consiste en mitigar el riesgo que imposibilita la
continuidad de las operaciones por un lapso de tiempo que no está considerado
como normal.
Hacker: Es la persona que descubre las vulnerabilidades o debilidades de un
computador o una red de computadoras con o sin fines de lucro.
ISO: International Organization for Standarization, es una organización
internacional que se compone de varios estándares internacionales.
Sistemas de Información: Es el conjunto de elementos que están orientados a
la gestión administrativa de los datos e información previamente organizados y
que están listos para ser utilizados con el fin de cubrir una necesidad u objetivo.
Virus: Los virus o malware tiene como objetivo la alteración del funcionamiento
de un ordenador personal o distribuido, sin el permiso y sin conocimiento previo
del usuario o administrador de sistemas
Accesos Autorizados: Son los privilegios que se otorgado a un usuario según su
rol en una organización.
56
Activo: Son aquellos recursos de hardware o software con los que cuenta una
empresa u organización.
OSI: (en inglés, Open System Internconnection), es un modelo que sirve de
referencia para los protocolos de red en una arquitectura en capas.
57
CAPÍTULO III
METODOLOGÍA DE LA INVESTIGACIÓN
DISEÑO DE LA INVESTIGACIÓN
MODALIDAD DE LA INVESTIGACIÓN
Todos los seres humanos hacemos investigación frecuentemente, dice
Hernández Sampieri, Fernández y Baptista (2010). Mediante la investigación y
acceso continuo a la información, el personal de IT se actualiza y se informa de
las últimas tendencias tecnológicas del mundo para así poder mejorar sus
estrategias y fortalecer sus conocimientos en el área que desempeñen, en este
caso, el área de la seguridad de la información.
Por lo anteriormente mencionado, es importante la consulta y recolección de
información logrando de esta forma una investigación bibliográfica que permite
utilizar la información consultada, registrada y almacenada, la cual fundamenta la
propuesta del diseño de arquitectura de seguridad.
58
Cuadro Nº2 Diferencias entre Proyecto Factible y Proyecto de Investigación
Fuente: El Proyecto Factible: Una modalidad de investigación (2002).
Elaborado por: Víctor Emilio Silva Bajaña.
Tipo de investigación
En este proyecto de titulación se ha realizado una investigación de tipo descriptiva
y exploratoria. Decimos que es descriptiva, en base a lo expuesto por Hernández
Sampieri, quien indica que una investigación descriptiva es “una serie de
cuestiones y se mide cada una de ellas independientemente, para así describir lo
que se investiga”; ya que se ha realizado el análisis del estado y rendimiento actual
de las seguridades de la infraestructura de red de la Universidad de Guayaquil.
Se estudió un modelo de arquitectura de seguridad que no se ha aplicado hasta
ahora en la infraestructura de la institución lo cual constituye a esta investigación
exploratoria tal como lo indican Hernández Sampieri, Fernández y Baptista es la
que “se efectúa, normalmente, cuando el objetivo es examinar un tema o problema
de investigación poco estudiado o que no ha sido abordado antes”.
59
POBLACIÓN Y MUESTRA
POBLACIÓN:
Según (Sáez Castillo, 2012), “Se denomina población a un conjunto de individuos
o casos, objetivo de nuestro interés”. En esta investigación, la población está
conformada por los encargados de los centros de cómputo y estudiantes de las
facultades ubicadas en la ciudadela universitaria así como el responsable técnico
del centro de cómputo principal de la Universidad de Guayaquil.
Cuadro Nº 3 Población
INTEGRANTES TAMAÑO
Personal Encargado de Centros de Cómputo 14
Estudiantes – Ciudadela Universitaria 41.015
TOTAL 41.019
Fuente: Planificación Universitaria UG
Elaborado por: Víctor Emilio Silva Bajaña
Se realizaron encuestas al personal de IT. En el siguiente cuadro se detalla el
número de personal de IT de cada facultad que se han considerado como la
población para obtener la muestra y para realizar encuestas.
60
CRITERIOS DE INCLUSIÓN Y DE EXCLUSIÓN
Criterios de inclusión
Dentro de los criterios de inclusión para esta investigación se consideró al
Personal técnico de los Centros de Cómputo y estudiantes de las siguientes
unidades académicas:
Matemáticas y Físicas
Economía
Medicina
Psicología
Agrarias
Recreación y Educación Física
Ciencias Químicas
Administración
Jurisprudencia
Ingeniería Química
Filosofía
Arquitectura y Urbanismo
Odontología
División de Centro de Computo
Ya que la información con la que pueden aportar es relevante y útil para el
desarrollo de este proyecto.
Criterios de exclusión
Se excluye de la investigación al personal perteneciente a la Biblioteca
Universitaria, Almacén Universitario, Editorial, Laboratorios, etc. y demás
localidades donde no exista personal IT a cargo, ya que no se puede obtener
información de utilidad para este proyecto.
61
MUESTRA:
Tamaño de la Muestra para Estudiantes
Donde:
Reemplazando:
nm
e m
2 1 1( )
m= Tamaño de la población
(41015)
E= error de estimación (5%)
n = Tamaño de la muestra ?
‘?
396
54.103
41015
154.102
41015
1)41014)(0025.0(
41015
1)141015()05.0(
410152
n
n
n
n
n
62
Una vez calculado el valor de la fracción muestral, se calcula la muestra para el
grupo de estudiantes, multiplicando el total por el valor de la muestra, como se
indica a continuación:
Muestra= 41015* 0.010 = 410
Cuadro Nº4 Tamaño de la Muestra
POBLACIÓN CANTIDAD MUESTRA
ESTUDIANTES 41015 410
TOTAL 41015 410
OPERACIONALIZACIÓN DE VARIABLES
Variable Independiente:
Mecanismos de Seguridad de la Información
Variable Dependiente:
Diseño de la arquitectura de seguridad para la red de datos de la Universidad de
Guayaquil en la Ciudadela
Cálculo de la fracción muestral:
010.041015
396
N
nf
63
Cuadro no. 5 Matriz de operacionalización de variables
Elaborado por: Víctor Emilio Silva Bajaña
Fuente: Víctor Emilio Silva Bajaña
Variables Dimensiones Indicadores Técnicas y/o
Instrumentos
VARIABLE
INDEPENDIENTE
Mecanismos de
Seguridad de la
Información
Identificar
Firewall, IDS/IPS,
Directorio Activo,
Antivirus, Proxies,,
Sistemas de Archivo en
Red. Sistemas de
Respaldo de Información.
Monitor de Red /
Notificaciones y Alertas.
-Observación Directa
(Appliance o
Distribuciones de
Linux).
-Checklist de
levantamiento de
informacion(Anexo
4)
Administrar
-Continuidad del Servicio Informe de Servicio
Control y Mejoras
-Aplicación de Políticas de
Seguridad a Servicios.
-Modelo de Políticas
de Seguridad (Anexo
6)
Identificación, Evaluación
y Mitigación de Riesgos
Modelo deMatriz de
Riesgos (Anexo 7)
VARIABLE
DEPENDIENTE
Diseño de la
arquitectura de
seguridad para la
red de datos de la
Universidad de
Guayaquil en la
Ciudadela
Universitaria
Salvador Allende.
Diseño de la
arquitectura de
seguridad
Comparación de la
infraestructura actual con
la propuesta demostrando
falencias.
Propuesta del
Diseño de
Arquitectura de
Seguridad (Anexo 2).
Demostración del
funcionamiento de los
principios de la seguridad
de la información en el
diseño propuesto.
64
INSTRUMENTOS DE RECOLECCIÓN DE DATOS
Para tener un acercamiento con el fenómeno de estudio y poder extraer
información del mismo que sirvió para el desarrollo de este proyecto, se utilizan
técnicas de campo, a continuación se detallan las técnicas utilizadas:
Observación Directa.
Encuestas a Estudiantes y Personal de TI de la UG.
OBSERVACIÓN
Achaerandio para definir la observación indica que:
Investigación por observación significa aquella investigación en la que se
recogen directamente los datos, mediante técnicas adecuadas y sin
manipulación de las variables. En la investigación por observación se usan
diversas técnicas, para recolectar directamente los datos: la observación
libre, la observación participada, la encuesta, el cuestionario, la entrevista,
etc.” (Achaerandio, 2010, p.21).
Para el desarrollo de este proyecto, una de las técnicas que se utilizo fue la
observación directa, que se aplicó en la infraestructura de red de cada facultad y
de la división del centro de cómputo estableciendo de esta forma la situación
actual de las seguridades de la Universidad de Guayaquil, se fijaron límites y
alcances de este estudio.
65
ENCUESTAS Y CUESTIONARIOS
En cuanto a las encuestas y cuestionarios, Achaerandio indica que:
Para evaluar actitudes se emplean preferentemente cuestionarios de diversos
tipos; en todos hay que tener en cuenta la calidad y clase de preguntas a plantear.
EI cuestionario es una técnica de investigación por observación, cuya ventaja
principal es que, en poco tiempo, se puede obtener la reacción de numerosos
individuos. Como todos reciben las mismas preguntas o cuestiones, es más fácil
ordenar los datos de las respuestas conseguidas. (Achaerandio, 2010, p.148).
En base a lo anterior, se escogió por realizar como instrumento recolector de
información a la encuesta y cuestionarios, para poder obtener de una manera
precisa y concisa información con respecto al tema de estudio, para la formulación
de las preguntas se tomó en cuenta los criterios que describió Achaerandio en su
obra “Iniciación a la práctica de la investigación” donde recomienda la calidad que
deben tener las preguntas a contestarse:
Deben ser interesantes, deben de tener relación con el objetivo y no hace
falta que sean interesantes en sí mismas.
Deben de formularse preguntas necesarias y no se debe preguntar 10 que
ya se sabe por otras fuentes, o es irrelevante.
Tabulables, es decir, hay que tener en cuenta de alguna manera como se
van a organizar las respuestas para examinarlas.
Precisas, se deben evitar preguntas que den respuestas vagas, no
exactas.
Fáciles, no deben requerir mucho esfuerzo exponerlas.
Y sobre todo deben ser breves, claras, directas, a no ser que se trate de
un cuestionario proyectivo.
Para este proyecto, se realizaron dos modelos de encuestas, una dirigida para el
personal de IT y otra dirigida a las autoridades de la UG.
66
PROCEDIMIENTOS DE LA INVESTIGACIÓN
EL PROBLEMA:
Ubicación del problema en un contexto
Situación conflicto
Causa del problema, consecuencia
Delimitación del problema
Planteamiento
Evaluación del problema
Objetivo de la investigación
Justificación e importancia de la investigación
MARCO TEÓRICO:
Fundamentación teórica
Antecedentes del estudio
Exposición fundamentada en la consulta bibliográfica
Documental actualizado
Orientación filosófica y educativa de la investigación.
METODOLOGÍA:
Diseño de la investigación
Modalidad de la investigación
Tipo de investigación
Población y muestra
Operacionalización de las variables
Instrumentos de recolección de datos
Procesamiento de la investigación
Recolección de la información
Procesamiento y análisis
67
RESULTADOS CONCLUSIONES Y RECOMENDACIONES:
Resultados
Conclusiones
Recomendaciones
BIBLIOGRAFÍA
ANEXOS
68
RECOLECCIÓN DE LA INFORMACIÓN
Durante el levantamiento de la información se emplearon como instrumento la
observación y la encuesta, los cuales permitieron la obtención de datos necesarios
para el desarrollo y fortalecimiento del diseño de arquitectura de seguridad de la
información propuesto. Dichas encuestas fueron realizadas al personal de IT la
cual, se encuentra en el Anexo 3 y a los estudiantes, este modelo de encuesta se
encuentra en el Anexo 4.
PROCESAMIENTO Y ANÁLISIS
Una vez realizadas las encuestas, los datos obtenidos de las mismas son
procesadas para posteriormente ser tabulados, el resultado de los mismos se
representan en cuadros y gráficos estadísticos por cada pregunta del cuestionario,
de esta forma permite la clara comprensión.
Posteriormente en el análisis de las preguntas, existe una relacionada con la edad
del personal de IT de la institución, la misma que es una variable cuantitativa y por
ello se consideró los siguientes valores estadísticos descriptivos:
Media
Moda
Mediana
Varianza
Desviación estándar
Rango
Cuartiles
Coeficiente de asimetría
Curtosis
Media: La media aritmética es una medida de tendencia central y es la que se
utiliza con mayor frecuencia. La media aritmética se calcula sumando todas las
69
observaciones de un conjunto de datos, dividiendo después ese total entre el
número total de elementos involucrados. La media también es denominada
promedio. (Estuardo A, 2012, p. 35)
Mediana: La mediana es el valor que se encuentra en el centro de una secuencia
ordenada de datos. La mediana no se ve afectada por observaciones extremas en
un conjunto de datos. Por ello, cuando se presenta alguna información extrema,
resulta apropiado utilizar la mediana, y no la media, para describir el conjunto de
datos. (Estuardo A, 2012, p. 39)
Moda: La moda es el valor de un conjunto de datos que aparece con mayor
frecuencia. Se le obtiene fácilmente a partir de un arreglo ordenado. A diferencia
de la media aritmética, la moda no se afecta ante la ocurrencia de valores
extremos. Sin embargo, sólo se utiliza la moda para propósitos descriptivos
porque es más variable, para distintas muestras, que las demás medidas de
tendencia central. Un conjunto de datos puede tener más de una moda o ninguna.
(Estuardo A, 2012, p. 41)
Rango: Es la diferencia entre el máximo y el mínimo valor de un conjunto de datos.
(Estuardo A, 2012, p. 46)
Varianza: La varianza se define como el promedio aritmético de las diferencias
entre cada uno de los valores del conjunto de datos y la media aritmética del
conjunto elevadas al cuadrado. (Estuardo A, 2012, p. 48)
70
Desviación estándar: Es la raíz cuadrada positiva de la varianza. La desviación
estándar indica el promedio en que se desvía cada una de las observaciones de
la media aritmética. (Estuardo A, 2012, p. 51)
Coeficiente de variación: Constituye la dispersión relativa por la proporción que
existe entre la varianza y la media.
Cuartiles: En un conjunto de datos en el que éstos se hallan ordenados de
acuerdo con su magnitud, el valor de en medio (o la media aritmética de los dos
valores de en medio), que divide al conjunto en dos partes iguales, es la mediana.
Continuando con esta idea se puede pensar en aquellos valores que dividen al
conjunto de datos en cuatro partes iguales. Estos valores, denotados Q1, Q2 y Q3
son el primero, segundo y tercer cuartiles, respectivamente; el valor Q2 coincide
con la mediana. (Spiegel M.,Stephens L., 2009, p. 66)
Curtosis: La curtosis indica qué tan puntiaguda es una distribución; esto por lo
regular es en relación con la distribución normal. A una distribución que tiene un
pico relativamente alto se le llama leptocúrtica, en tanto que si es relativamente
aplastada se dice platicúrtica. Una distribución normal, que no es ni puntiaguda ni
muy aplastada se llama mesocúrtica. (Spiegel M., Stephens L., 2009, p. 126).
71
DESCRIPCIÓN Y CODIFICACIÓN DE LAS VARIABLES DE
ENCUESTA PARA ENCARGADOS DE CENTRO DE CÓMPUTO
Variable 1
Edad: Se determina la cantidad de encuestados pertenecientes a cada rango de
edad.
Cuadro Nº6 Codificación Variable 1
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Variable 2
Sexo: Se determina el número de personas según el sexo.
Cuadro Nº7 Codificación Variable 2
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Edad Código
18-24 1
25-34 2
35-44 3
45-54 4
55 – en adelante 5
Sexo Código
Masculino 1
Femenino 2
72
Variable 3
Capacitación y certificación continua en criterios de seguridad de la
información: Se busca conocer si los encuestados consideran importante la
capacitación y certificación continua en criterios de seguridad de la información
que debe brindarle la institución para robustecer las falencias de seguridad.
Cuadro Nº8 Codificación Variable 3
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Variable 4
Promover proyectos de tecnologías de seguridad de la información Con esta
variable se busca determinar si el encuestado está de acuerdo con que se
promuevan proyectos de seguridad de la información para luego analizar si es
factible la implementación en la infraestructura de la institución.
Cuadro Nº9 Codificación Variable 4
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Selección Código
Totalmente de acuerdo 5
De acuerdo 4
Indiferente 3
En desacuerdo 2
Totalmente en desacuerdo 1
Selección Código
Totalmente de acuerdo 5
De acuerdo 4
Indiferente 3
En desacuerdo 2
Totalmente en desacuerdo 1
73
Variable 5
Administración centralizada en División Centro de Cómputo: Se requiere
conocer si los administradores o encargados de la infraestructura de red de cada
facultad están de acuerdo con la administración centralizada en División de Centro
de Computo.
Cuadro Nº10 Codificación Variable 5
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Variable 6
Acceso confiable y seguro a los sistemas de la UG: Con esta variable se
determinará si los encuestados consideran si es seguro ingresar sesión en los
sistemas de la institución y si es confiable el almacenamiento de la información
ante cualquier pérdida, la continuidad del servicio tecnológico y la protección ante
la alteración de la información.
Cuadro Nº11 Codificación Variable 6
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Selección Código
Totalmente de acuerdo 5
De acuerdo 4
Indiferente 3
En desacuerdo 2
Totalmente en desacuerdo 1
Selección Código
Totalmente de acuerdo 5
De acuerdo 4
Indiferente 3
En desacuerdo 2
Totalmente en desacuerdo 1
74
Variable 7
Impacto ante pérdida, robo, sabotaje y alteración de la información: Los
encuestados indicaran la importancia ante los impactos que inciden la ausencia
de mecanismos de seguridad de la información que fortalezcan y protejan su red
interna.
Cuadro Nº12 Codificación Variable 7
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Variable 8
Disponibilidad de los servicios tecnológicos: El objetivo de esta variable es
conocer si los encuestados consideran que la disponibilidad de sus servicios
tecnológicos es vital.
Cuadro Nº13 Codificación Variable 8
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña
Selección Código
Totalmente de acuerdo 5
De acuerdo 4
Indiferente 3
En desacuerdo 2
Totalmente en desacuerdo 1
Selección Código
Totalmente de acuerdo 5
De acuerdo 4
Indiferente 3
En desacuerdo 2
Totalmente en desacuerdo 1
75
Variable 9
Arquitectura de Seguridad en la red de datos de la UG Con esta variable se
determinará si los encuestados consideran la importancia de la aplicación e
implementación de mecanismos de seguridad en base a normativas y
lineamientos que proporcionaran un mejor desempeño y rendimiento en las
seguridades de la institución.
Cuadro Nº14 Codificación Variable 9
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Variable 10
Evaluación de Riesgos en la Infraestructura, Servicios y Aplicaciones de la
UG: El fin de esta variable es determinar si los encuestados creen que la
evaluación de riesgos en la red de datos (infraestructura, servicios y aplicaciones)
les resulta de gran utilidad antes de solventarlos, asi se evitaran improvisaciones
y se disminuirán los tiempos de respuesta.
Cuadro Nº15 Codificación Variable 10
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Selección Código
Totalmente de acuerdo 5
De acuerdo 4
Indiferente 3
En desacuerdo 2
Totalmente en desacuerdo 1
Selección Código
Totalmente de acuerdo 5
De acuerdo 4
Indiferente 3
En desacuerdo 2
Totalmente en desacuerdo 1
76
Variable 11
Mecanismos de Control de riesgo Con esta variable se determinará si los
encuestados consideran la importancia de la aplicación e implementación de
mecanismos de seguridad en base a normativas y lineamientos que
proporcionaran un mejor desempeño y rendimiento en las seguridades de la
institución.
Cuadro Nº16 Codificación Variable 11
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Variable 12
Actualización de equipo tecnológico Con esta variable se constatara por parte
de los encuestados cada que tiempo se actualiza o se adquiere un equipo de
cómputo.
Cuadro Nº17 Codificación Variable 12
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Selección Código
Totalmente de acuerdo 5
De acuerdo 4
Indiferente 3
En desacuerdo 2
Totalmente en desacuerdo 1
Selección Código
Cada 3 años 4
Cada 5 años 3
Cada 10 años 2
11 años en adelante 1
77
Variable 13
Medidas de Seguridad Con esta variable se determinará si los encuestados
recomiendan algún mecanismo de seguridad para su área a cargo.
Cuadro Nº18 Codificación Variable 13
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Variable 14
Años de Ejercicio en IT del encuestado Con esta variable se determinará la
experiencia de los encargados de IT.
Cuadro Nº19 Codificación Variable 14
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Selección Código
Firewall 5
Uso de certificados digitales 4
Control de la Autenticación de usuarios 3
Soluciones AntiMalware 2
Soluciones de Respaldo de Información 1
Selección Código
1- 10 años 5
11-20 años 4
21-30años 3
31-40 años 2
41- en adelante 1
78
Variable 15
Título del Encuestado Con esta variable se determinará el nivel de instrucción
de los encuestados.
Cuadro Nº20 Codificación Variable 15
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Selección Código
Ingeniero (a) Sistemas / Computación / Estadística Informática 6
Licenciado (a) Sistemas / Computación / Estadística Informática 5
Ingeniero (a) Otras especialidades 4
Grado de Maestría 3
Doctor (a) 2
Otro 1
79
RESULTADO Y ANÁLISIS DE LA ENCUESTA REALIZADA
Pregunta Nº1
Edad del Encuestado:
Cuadro Nº21 Valores Estadísticos Pregunta 1
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Gráfico N°10 Valores Estadísticos Pregunta 1
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Análisis:
Como se puede ver en el gráfico 10 el 78.60% representa a personas de entre 35
a 44 años mientras que el 14.30% representa a personas entre 45 a 54 años y el
7.10% a personas de entre 25 a 34 años de edad.
Selección Frecuencia
Absoluta
Frecuencia
Relativa
Porcentajes
18-24 0 0 0%
25-34 1 0.0714 7.1%
35-44 11 0.7857 78.6%
45-54 2 0.1429 14%3
55- en adelante 0 0 0%
TOTAL 14 1 100%
0,00% 7,10%
78,60%
14,30%0,00%
18-24
25-34
35-44
45-54
55- en adelante
80
Cuadro Nº22 Valores Estadística Descriptiva Pregunta 1
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
El valor de la media, mediana y moda se muestra de manera clara en la tabla. La
desviación estándar es 4.57, lo que indica que la dispersión de los datos
relacionados a la media es de 40.21+- 4.57 años con lo cual tenemos un intervalo
de [35.64–44.78]. La dispersión es asimétrica hacia la derecha y como
consecuencia los datos se encuentran en su gran mayoría acumulados hacia la
izquierda, esto debido a que el coeficiente de asimetría es 0.28.
Media 40.21
Mediana 39.91
Moda 39.74
Desviación Estándar 4.57
Varianza 20.92
Curtosis 4.59
Coeficiente de asimetría 0.28
Rango 39
Cuartil 1 37.05
Cuartil 2 39.91
Cuartil 3 35.86
81
Pregunta Nº2
Sexo del Encuestado:
Cuadro Nº23 Valores Estadísticos Pregunta 2
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Gráfico N° 11 Valores Estadísticos Pregunta 2
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Análisis:
Del total de datos recolectados y tabulados se obtuvo como resultado que el
78.60% de los encuestados pertenecen al sexo masculino y el 21.40%
pertenecen al sexo femenino.
Selección Frecuencia
Absoluta
Frecuencia
Relativa
Porcentajes
Masculino 11 0.7857 78.6%
Femenino 3 0.2143 21.4%
TOTAL 14 1 100%
78,60%
21,40%
Masculino
Femenino
82
Pregunta Nº3
¿Considera Ud. que es necesaria la capacitación y certificación continúa en
criterios de seguridad de la información de los directores y/o encargados de los
departamentos de cómputo de cada una de las facultades de la UG?
Cuadro Nº24 Valores Estadísticos Pregunta 3
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Gráfico N° 12
Valores Estadísticos Pregunta 3
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Análisis:
Como podemos analizar en el gráfico 12 el 42.90% del personal de IT está
totalmente de acuerdo con la capacitación y certificación continua en criterios de
seguridad de la información pero un 42.90% muestra menos interés estando solo
de acuerdo mientras que un 14.30% le es indiferente el tema.
Selección Frecuencia
Absoluta
Frecuencia Relativa Porcentajes
Totalmente de acuerdo 6 0.4286 42.9%
De acuerdo 6 0.4286 42.9%
Indiferente 2 0.1429 14.3%
En desacuerdo 0 0 0%
Totalmente en desacuerdo 0 0 0%
TOTAL 14 1 100%
42,90%
42,90%
14,30%0,00% 0,00%
Totalmente de acuerdo
De acuerdo
Indiferente
En desacuerdo
Totalmente en desacuerdo
83
Pregunta Nº4
¿Cree Ud. que los docentes del área IT deban promover proyectos de tecnologías
de seguridad de la información para fortalecer la infraestructura de la UG?
Cuadro Nº 25 Valores Estadísticos Pregunta 4
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Gráfico N° 13 Valores Estadísticos Pregunta 4
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Análisis:
Según los datos recolectados el 42.90% del personal de IT está totalmente de
acuerdo con que se promuevan proyectos de tecnología de seguridad de la
información por parte de los docentes también un 28.60% está de acuerdo pero a
un 21.40% le es indiferente mientras que a un 7.10% está en desacuerdo.
Selección Frecuencia
Absoluta
Frecuencia
Relativa
Porcentajes
Totalmente de acuerdo 6 0.42.85 42.9%
De acuerdo 4 0.2857 28.6%
Indiferente 3 0.2143 21.4%
En desacuerdo 1 0.0714 7.1%
Totalmente en desacuerdo 0 0 0
TOTAL 14 1 100%
42,90%
28,60%
21,40%
7,10% 0,00%
Totalmente de acuerdo
De acuerdo
Indiferente
En desacuerdo
Totalmente en desacuerdo
84
Pregunta Nº5
¿Cree Ud. que es de vital importancia que la administración de las seguridades
sea totalmente centralizada en la División Centro de Cómputo de la UG?
Cuadro Nº26 Valores Estadísticos Pregunta 5
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Gráfico N° 14 Valores Estadísticos Pregunta 5
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Análisis:
Del total de datos recolectados y tabulados en el gráfico 14 se puede determinar
que el 42.90% considera que está totalmente de acuerdo con la administración
centralizada en división centro de cómputo, mientras que un 14.30% solo está de
acuerdo y otro 14.30% le es indiferente al tema, el 7.1 % de los encuestados no
está de acuerdo y un 21.4% está totalmente en desacuerdo.
Selección Frecuencia
Absoluta
Frecuencia
Relativa
Porcentajes
Totalmente de acuerdo 6 0.4286 42.9%
De acuerdo 2 0.1429 14.3%
Indiferente 2 0.1429 14.3%
En desacuerdo 1 0.0714 7.1%
Totalmente en desacuerdo 3 0.2143 21.4%
TOTAL 14 1 100%
42,90%
14,30%
14,30%
7,10%
21,40%
Totalmente de acuerdo
De acuerdo
Indiferente
En desacuerdo
Totalmente en desacuerdo
85
Pregunta Nº6
6. ¿Considera Ud. que es totalmente confiable y seguro el acceso a los sistemas
de la UG?
Cuadro Nº27 Valores Estadísticos Pregunta 6
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Gráfico N° 15 Valores Estadísticos Pregunta 6
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Análisis:
Según lo recolectado podemos ver en el gráfico 15 que solo el 35.7% del personal
de IT está totalmente de acuerdo con la confiabilidad y seguridad del acceso a los
sistemas de la UG, mientras un 64.3% dudan en esta afirmación en sus distintas
respuestas.
Selección Frecuencia
Absoluta
Frecuencia
Relativa
Porcentajes
Totalmente de acuerdo 5 0.3571 35.7%
De acuerdo 3 0.2142 21.4%
Indiferente 1 0.0714 7.1%
En desacuerdo 4 0.2857 28.6%
Totalmente en desacuerdo 1 0.0714 7.1%
TOTAL 14 1 100%
35,70%
21,40%
7,10%
28,60%
7,10%
Totalmente de acuerdo
De acuerdo
Indiferente
En desacuerdo
Totalmente en desacuerdo
86
Pregunta Nº7
¿Cree Ud. que la pérdida, robo, sabotaje y alteración de la información tiene un
impacto muy grave sino se aplican criterios de seguridad de la información en la
UG?
Cuadro Nº28 Valores Estadísticos Pregunta 7
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Gráfico N° 16 Valores Estadísticos Pregunta 7
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Análisis:
Según lo recolectado podemos determinar que el 71.40% del personal de IT está
totalmente de acuerdo con la gravedad de la falta de aplicación de criterios de
seguridad de la información y un 28.60% solo están de acuerdo.
Selección Frecuencia
Absoluta
Frecuencia
Relativa
Porcentajes
Totalmente de acuerdo 10 0.7143 71.4%
De acuerdo 4 0.2857 28.6%
Indiferente 0 0 0%
En desacuerdo 0 0 0%
Totalmente en desacuerdo 0 0 0%
TOTAL 14 1 100%
71,40%
28,60%
0,00% 0,00% 0,00%
Totalmente de acuerdo
De acuerdo
Indiferente
En desacuerdo
Totalmente en desacuerdo
87
Pregunta Nº8
8. ¿Considera Ud. de los servicios tecnológicos y la información deben estar
siempre disponibles?
Cuadro Nº29 Valores Estadísticos Pregunta 8
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Gráfico N° 17 Valores Estadísticos Pregunta 8
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Análisis: Según lo recolectado y tabulado podemos ver que el 78.60% del
personal de IT está totalmente de acuerdo que la disponibilidad en los servicios
tecnológicos y en la información es importante y un 21.40% solo están de acuerdo.
Selección Frecuencia
Absoluta
Frecuencia
Relativa
Porcentajes
Totalmente de
acuerdo
11 0.7857 78.6%
De acuerdo 3 0.2143 21.4%
Indiferente 0 0 0%
En desacuerdo 0 0 0%
Totalmente en
desacuerdo
0 0 0%
TOTAL 14 1 100%
78,60%
21,40%
0,00%0,00%
0,00%
Totalmente de acuerdo
De acuerdo
Indiferente
En desacuerdo
Totalmente en desacuerdo
88
Pregunta Nº9
9. ¿Considera Ud. que la Universidad de Guayaquil debería tener una arquitectura
de seguridad de la información en su red de datos?
Cuadro Nº30 Valores Estadísticos Pregunta 9
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Gráfico N° 18 Valores Estadísticos Pregunta 9
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Análisis:
Según los datos recolectados el 71.40% del personal de IT está totalmente de
acuerdo para que la UG tenga una arquitectura de seguridad en su red de datos
también un 21.40% está de acuerdo pero a un 7.10% le es indiferente.
Selección Frecuencia
Absoluta
Frecuencia
Relativa
Porcentajes
Totalmente de
acuerdo
10 0.7143 71.4%
De acuerdo 3 0.2143 21.4%
Indiferente 1 0.0714 7.1%
En desacuerdo 0 0 0%
Totalmente en
desacuerdo
0 0 0%
TOTAL 14 1 100%
71,40%
21,40%
7,10% 0,00% 0,00%
Totalmente de acuerdo
De acuerdo
Indiferente
En desacuerdo
Totalmente en desacuerdo
89
Pregunta Nº10
10. ¿Cree Ud. que es necesaria la evaluación de los riesgos en la infraestructura,
servicios y aplicaciones de la Universidad de Guayaquil?
Cuadro Nº31 Valores Estadísticos Pregunta 10
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Gráfico N° 19 Valores Estadísticos Pregunta 10
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Análisis:
Según los datos recolectados el 71.40% del personal de IT está totalmente de
acuerdo con lo necesario que es la evaluación de riesgos en una red de datos
también un 7.10% está de acuerdo pero a un 21.40% le es indiferente.
Selección Frecuencia
Absoluta
Frecuencia Relativa Porcentajes
Totalmente de acuerdo 10 0.7143 71.4%
De acuerdo 1 0.0714 7.1%
Indiferente 3 0.2142 21.4%
En desacuerdo 0 0 0%
Totalmente en desacuerdo 0 0 0%
TOTAL 14 1 100%
71,40%
7,10%
21,40%
0,00% 0,00%
Totalmente de acuerdo
De acuerdo
Indiferente
En desacuerdo
Totalmente en desacuerdo
90
Pregunta Nº11
11. ¿Considera Ud. que es importante la aplicación de medidas de control de
riesgo ante problemas de continuidad del servicio tecnológico o ante problemas
de robo/perdida de la información?
Cuadro Nº32 Valores Estadísticos Pregunta 11
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Gráfico N° 20 Valores Estadísticos Pregunta 11
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Análisis:
Según los datos recolectados el 71.40% del personal de IT está totalmente de
acuerdo para que la UG tenga una arquitectura de seguridad en su red de datos
también un 21.40% está de acuerdo pero a un 7.10% le es indiferente.
Selección Frecuencia
Absoluta
Frecuencia
Relativa
Porcentajes
Totalmente de acuerdo 10 0.7143 71.4%
De acuerdo 2 0.1429 14.3%
Indiferente 2 0.1429 14.3%
En desacuerdo 0 0 0%
Totalmente en desacuerdo 0 0 0%
TOTAL 14 1 100%
71,40%
14,30%
14,30%
0,00% 0,00%
Totalmente de acuerdo
De acuerdo
Indiferente
En desacuerdo
Totalmente en desacuerdo
91
Pregunta Nº12
12. ¿Cada cuánto tiempo se actualiza o se adquiere equipamiento tecnológico?
Cuadro Nº33 Valores Estadísticos Pregunta 12
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Gráfico N° 21 Valores Estadísticos Pregunta 12
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Análisis:
Según los datos recopilados y tabulados el 85.71% del personal de IT comenta
que existe la probabilidad de actualizar o adquirir un equipo de cómputo al menos
cada 5 años y un 14.29% indica que esto se realiza aproximadamente cada 10
años.
Selección Frecuencia
Absoluta
Frecuencia
Relativa
Porcentajes
Cada 3 años 0 0 0%
Cada 5 años 12 0.8571 85.71%
Cada 10 años 2 0.1429 14.29%
11 años en adelante 0 0 0
TOTAL 14 1 100%
0,00%
85,71%
14,29%
0,00%
Cada 3 años
Cada 5 años
Cada 10 años
11 años en adelante
92
Pregunta Nº13
13. Indique los mecanismos de seguridad de la información que recomendaría
para su área a cargo.
Cuadro Nº34 Valores Estadísticos Pregunta 13
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Gráfico N° 22 Valores Estadísticos Pregunta 13
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Análisis:
En base a la información levantada los encargados de IT recomiendan que se
implemente en la UG: con un 71.4% Soluciones de Respaldo de Información y
ambos con un 64.3% Soluciones de Antimalware y el Uso de Certificados digitales.
0,00% 10,00%20,00%30,00%40,00%50,00%60,00%70,00%80,00%
Firewall
Certificados Digitales
Autenticacion de Usuarios
Antimalware
Soluciones de Respaldo de Información
Mecanismos de Seguridad
Mecanismos de Seguridad
Respuestas Porcentaje de
Casos
Cantidad Porcentaje
Mecanismos de
Seguridad
Recomendados por
el Encuestado
Firewall 5 0.13% 35.7%
Uso de certificados digitales 9 0.23% 64.3%
Control de la Autenticación de usuarios 7 0.18% 50%
Soluciones AntiMalware 9 0.23% 64.3%
Soluciones de Respaldo de Información 10 0.25% 71.4%
TOTAL 40 100% 285.70%
93
Pregunta Nº14
14. Años de ejercicio en IT del encuestado
Cuadro Nº35 Valores Estadísticos Pregunta 14
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Gráfico N° 23 Valores Estadísticos Pregunta 14
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Análisis:
Esta información nos demuestra que el 21.4% del personal de IT encuestado tiene
de 1 a 10 años ejerciendo su profesión y un 78.6% tienen de 11 a 20 años de
experiencia en TI.
Selección Frecuencia Absoluta Frecuencia Relativa Porcentajes
1- 10 años 3 0.2143 21.4%
11-20 años 11 0.7857 78.60%
21-30años 0 0 0%
31-40 años 0 0 0%
41- en adelante 0 0 0%
TOTAL 14 1 100%
21,40%
78,60%
0,00% 0,00% 0,00%
1- 10 años
11-20 años
21-30años
31-40 años
41- en adelante
94
Pregunta Nº15
15. Título del encuestado
Cuadro Nº36 Valores Estadísticos Pregunta 15
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Gráfico N° 24 Valores Estadísticos Pregunta 15
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Análisis:
Según lo tabulado el 57.10% tiene un Grado de Maestría, un 35.7% son Ingenieros
en el área de IT y un 7.1% son de otras áreas.
Selección Frecuencia
Absoluta
Frecuencia
Relativa
Porcentajes
Ingeniero (a) Sistemas / Computación /
Estadística Informática
5 0.3571 35.7%
Licenciado (a) Sistemas / Computación
/ Estadística Informática
0 0 0%
Ingeniero (a) Otras especialidades 0 0 0%
Grado de Maestría 8 0.5714 57.1%
Doctor (a) 0 0 0%
Otro 1 0.0714 7.1%
TOTAL 14 1 100%
35,70%
0,00%
0,00%
57,10%
0,00%7,10%
Ingeniero (a) Sistemas / Computación /Estadística Informática
Licenciado (a) Sistemas / Computación /Estadística Informática
Ingeniero (a) Otras especialidades
Grado de Maestría
Doctor (a)
Otro
95
DESCRIPCIÓN Y CODIFICACIÓN DE LAS VARIABLES DE
ENCUESTA PARA ESTUDIANTES
Variable 1
Edad: Se determina la cantidad de encuestados pertenecientes a cada rango de
edad.
Cuadro Nº37 Codificación Variable 1
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Variable 2
Sexo: Se determina el número de personas según el sexo.
Cuadro Nº38 Codificación Variable 2
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Edad Código
18-20 1
21-25 2
26-30 3
31-35 4
36 – 50 5
Sexo Código
Masculino 1
Femenino 2
96
Variable 3
Accesos a los sistemas de la UG: Se busca conocer si los encuestados
consideran seguro y confiable a los distintos sistemas en la Universidad de
Guayaquil.
Cuadro Nº39 Codificación Variable 3
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Variable 4
Servicios tecnológicos e información en la UG: Con esta variable se busca
determinar si el encuestado considera que los servicios de información y
tecnología deben estar siempre disponibles.
Cuadro Nº40 Codificación Variable 4
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Selección Código
Totalmente de acuerdo 5
De acuerdo 4
Indiferente 3
En desacuerdo 2
Totalmente en desacuerdo 1
Selección Código
Totalmente de acuerdo 5
De acuerdo 4
Indiferente 3
En desacuerdo 2
Totalmente en desacuerdo 1
97
Variable 5
Protección de la Información de sistemas en UG: Se requiere conocer si los
estudiantes consideran que debe protegerse la información que se maneja en los
procesos de matriculación, sistemas académicos, financieros, etc.
Cuadro Nº41 Codificación Variable 5
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Variable 6
Administración de servicios tecnológicos: Con esta variable se determinará si
los encuestados consideran que los servicios tecnología y sistemas deben ser
administrados por personal especializado y capacitado.
Cuadro Nº42 Codificación Variable 6
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Selección Código
Totalmente de acuerdo 5
De acuerdo 4
Indiferente 3
En desacuerdo 2
Totalmente en desacuerdo 1
Selección Código
Totalmente de acuerdo 5
De acuerdo 4
Indiferente 3
En desacuerdo 2
Totalmente en desacuerdo 1
98
Variable 7
Servicio de Internet: Los encuestados indicaran su opinión acerca de si los
servicios de internet que se provee en la universidad debe ser solo para
actividades académicas.
Cuadro Nº43 Codificación Variable 7
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Variable 8
Control de usuarios: Esta variable busca determinar si los encuestados creen
importante el establecimiento de controles en docente, personal administrativo y
estudiantes para que no se modifiquen datos en los sistemas sin autorización.
Cuadro Nº44 Codificación Variable 8
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña
Selección Código
Totalmente de acuerdo 5
De acuerdo 4
Indiferente 3
En desacuerdo 2
Totalmente en desacuerdo 1
Selección Código
Totalmente de acuerdo 5
De acuerdo 4
Indiferente 3
En desacuerdo 2
Totalmente en desacuerdo 1
99
Variable 9
Mecanismos de seguridad en sistemas de la UG: El objetivo de esta variable
es conocer si los encuestados consideran si los mecanismos de seguridad
implementados en los sistemas son eficaces para la protección de datos y
continuidad del servicio.
Cuadro Nº45 Codificación Variable 9
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Variable 10
Arquitectura de Seguridad en la red de datos de la UG Con esta variable se
determinará si los encuestados consideran si la implementación de una
arquitectura de seguridad solvente las falencias en la disponibilidad de servicios
tecnológicos y mitigue vulnerabilidades.
Cuadro Nº46 Codificación Variable 10
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Selección Código
Totalmente de acuerdo 5
De acuerdo 4
Indiferente 3
En desacuerdo 2
Totalmente en desacuerdo 1
Selección Código
Totalmente de acuerdo 5
De acuerdo 4
Indiferente 3
En desacuerdo 2
Totalmente en desacuerdo 1
100
RESULTADO Y ANÁLISIS DE LA ENCUESTA REALIZADA A
ESTUDIANTES
Pregunta Nº1
Edad del Encuestado:
Cuadro Nº47 Valores Estadísticos Pregunta 1
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Gráfico N°26 Valores Estadísticos Pregunta 1
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Análisis:
Como se puede ver en el gráfico 26 el 74.87% representa a personas de entre 18
y 25 años mientras que el 23.41% representa a personas entre 26 y 35 años y el
1.70% a personas de entre 36 y 50 años.
Selección Frecuencia Absoluta Frecuencia Relativa Porcentajes
18-20 68 0.1659 16.59%
21-25 239 0.5829 58.29%
26-30 52 0.1268 12.68%
31-35 44 0.1073 10.73%
36- 50 7 0.017 1.70%
TOTAL 410 1 100%
16,58%
58,29%
12,68%
10,73% 1,70%
18-24
25-34
35-44
45-54
55- en adelante
101
Cuadro Nº48 Valores Estadística Descriptiva Pregunta 1
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
El valor de la media, mediana y moda se muestra de manera clara en la tabla. La
desviación estándar es 4.63, lo que indica que la dispersión de los datos
relacionados a la media es de 24.39 +- 4.63 años con lo cual tenemos un intervalo
de [19.76 – 29.02]. La dispersión es asimétrica hacia la derecha y como
consecuencia los datos se encuentran en su gran mayoría acumulados hacia la
izquierda, esto debido a que el coeficiente de asimetría es 1.58.
Media 24.39
Mediana 24.41
Moda 23
Desviación Estándar 4.63
Varianza 21.47
Curtosis 6.1
Coeficiente de asimetría 1.58
Rango 32
Cuartil 1 22.70
Cuartil 2 24.41
Cuartil 3 26.13
102
Pregunta Nº2
Sexo del Encuestado:
Cuadro Nº49 Valores Estadísticos Pregunta 2
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Gráfico N° 28 Valores Estadísticos Pregunta 2
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Análisis:
Del total de datos recolectados y tabulados se obtuvo como resultado que el 69%
de los encuestados pertenecen al sexo masculino y el 31% pertenecen al sexo
femenino.
Selección Frecuencia
Absoluta
Frecuencia
Relativa
Porcentajes
Masculino 283 0.6903 69%
Femenino 127 0.3097 31%
TOTAL 410 1 100%
69,00%
31,00%Masculino
Femenino
103
Pregunta Nº3
¿Considera Ud. que es totalmente confiable y seguro el acceso a los sistemas
de la UG?
Cuadro Nº50 Valores Estadísticos Pregunta 3
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Gráfico N° 29
Valores Estadísticos Pregunta 3
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Análisis:
Como podemos analizar en el gráfico 29, el 29% de los estudiantes consideran
que es totalmente confiable y seguro el acceso a los distintos sistemas de la UG,
el 25.4% es indiferente y el 45.6% piensa que no es confiable el acceso a los
sistemas.
Selección Frecuencia
Absoluta
Frecuencia
Relativa
Porcentajes
Totalmente de acuerdo 37 0.0902 9%
De acuerdo 82 0.2 20%
Indiferente 104 0.2537 25.4%
En desacuerdo 142 0.3463 34.6%
Totalmente en desacuerdo 45 10.98 11%
TOTAL 410 1 100%
9,00%
20,00%
25,40%
34,60%
11,00%
Totalmente de acuerdo
De acuerdo
Indiferente
En desacuerdo
Totalmente en desacuerdo
104
Pregunta Nº4
¿Cree Ud. que los servicios tecnológicos y la información de la UG deben estar
siempre disponibles?
Cuadro Nº 51 Valores Estadísticos Pregunta 4
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Gráfico N° 30 Valores Estadísticos Pregunta 4
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Análisis:
El 80.4% de los encuestados considera que los servicios de información deben
estar siempre disponibles. Al 7.6% de los encuestados les parece indiferente y el
2% considera que no deberían estar disponibles 24/7.
Selección Frecuencia
Absoluta
Frecuencia Relativa Porcentajes
Totalmente de acuerdo 304 0.741 74.1%
De acuerdo 67 0.163 16.3%
Indiferente 31 0.076 7.6%
En desacuerdo 0 0 0%
Totalmente en desacuerdo 80 0.020 2%
TOTAL 410 1 100%
74,10%
16,30%
7,60%0,00% 2,00%
Totalmente de acuerdo
De acuerdo
Indiferente
En desacuerdo
Totalmente en desacuerdo
105
Pregunta Nº5
¿Cree Ud. que es de vital importancia la protección de la información de los
sistemas de la UG como los de matriculación, sistemas académicos, financieros,
etc.?
Cuadro Nº52 Valores Estadísticos Pregunta 5
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Gráfico N° 31 Valores Estadísticos Pregunta 5
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Análisis:
Del total de datos recolectados y tabulados se pudo determinar que el 100% de
los encuestados considera de vital importancia la protección de la información que
se maneja en los diversos sistemas que existen en la UG.
Selección Frecuencia
Absoluta
Frecuencia
Relativa
Porcentajes
Totalmente de acuerdo 350 0.8537 85.4%
De acuerdo 60 0.1463 14.6%
Indiferente 0 0 0%
En desacuerdo 0 0 0%
Totalmente en desacuerdo 0 0 0%
TOTAL 410 1 100%
85,40%
14,60%
0,00% 0,00% 0,00%
Totalmente de acuerdo
De acuerdo
Indiferente
En desacuerdo
Totalmente en desacuerdo
106
Pregunta Nº6
6. ¿Considera Ud. que los servicios tecnológicos de la UG deben ser
administrados por personal especializado y constantemente capacitado?
Cuadro Nº53 Valores Estadísticos Pregunta 6
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Gráfico N° 32 Valores Estadísticos Pregunta 6
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Análisis:
Según lo recolectado podemos ver que el 98% de los encuestados considera que
los sistemas deben ser administrados por personal con sólidos conocimientos en
IT. El 2% restante fue indiferente a esta interrogante.
Selección Frecuencia
Absoluta
Frecuencia
Relativa
Porcentajes
Totalmente de acuerdo 350 0.8537 85%
De acuerdo 53 0.1293 13%
Indiferente 7 0.017 2%
En desacuerdo 0 0 0%
Totalmente en desacuerdo 0 0 0%
TOTAL 410 1 100%
85,00%
13,00%
2,00% 0,00% 0,00%
Totalmente de acuerdo
De acuerdo
Indiferente
En desacuerdo
Totalmente en desacuerdo
107
Pregunta Nº7
¿Cree Ud. que el servicio de internet que provee la UG a los estudiantes y
docentes debe ser exclusivo para actividades académicas?
Cuadro Nº54 Valores Estadísticos Pregunta 7
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Gráfico N° 33 Valores Estadísticos Pregunta 7
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Análisis:
Según lo recolectado podemos ver que el 59% de los encuestados consideran que
el internet debe ser exclusivo para actividades académicas mientras que al 29%
le es indiferente la situación. El 12% de los encuestados considera que el internet
debería ser utilizado para otras actividades también.
Selección Frecuencia
Absoluta
Frecuencia
Relativa
Porcentajes
Totalmente de acuerdo 169 0.4121 41%
De acuerdo 74 0.1804 18%
Indiferente 119 0.2902 29%
En desacuerdo 28 0.0682 7%
Totalmente en desacuerdo 20 0.0487 5%
TOTAL 410 1 100%
41,00%
18,00%
29,00%
7,00%5,00%
Totalmente de acuerdo
De acuerdo
Indiferente
En desacuerdo
Totalmente en desacuerdo
108
Pregunta Nº8
8. ¿Considera Ud. que se deben de establecer controles para que los usuarios
(docentes, personal administrativo y estudiantes) no modifiquen datos de los
sistemas de la UG en general de un modo no autorizado)?
Cuadro Nº55 Valores Estadísticos Pregunta 8
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Gráfico N° 34 Valores Estadísticos Pregunta 8
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Análisis:
Según lo recolectado y tabulado podemos ver que el 90% de los estudiantes
encuestados están de acuerdo que se deben establecer controles para el manejo
de la información. El 2% es indiferente y el 6% está en desacuerdo.
Selección Frecuencia
Absoluta
Frecuencia
Relativa
Porcentajes
Totalmente de acuerdo 283 0.6902 69%
De acuerdo 89 0.2170 21%
Indiferente 23 0.0560 6%
En desacuerdo 15 0.0365 4%
Totalmente en desacuerdo 0 0 0%
TOTAL 410 1 100%
69,00%
21,00%
6,00%4,00% 0,00%
Totalmente de acuerdo
De acuerdo
Indiferente
En desacuerdo
Totalmente en desacuerdo
109
Pregunta Nº9
9. ¿Considera Ud. que los mecanismos de seguridad de la información
implementados actualmente en la UG son eficaces y eficientes para la protección
de los datos y garantizan la continuidad del servicio?
Cuadro Nº56 Valores Estadísticos Pregunta 9
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Gráfico N° 35 Valores Estadísticos Pregunta 9
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Análisis:
Según los datos recolectados el 30% considera que los mecanismos de seguridad
hasta el momento implementados son eficientes, el 24% es indiferente y el 46%
no está de acuerdo con la seguridad en los sistemas de la UG.
Selección Frecuencia
Absoluta
Frecuencia
Relativa
Porcentajes
Totalmente de acuerdo 59 0.1439 14%
De acuerdo 67 0.1634 16%
Indiferente 97 0.2366 24%
En desacuerdo 142 0.3463 35%
Totalmente en desacuerdo 45 0.1098 11%
TOTAL 410 1 100%
14,00%
16,00%
24,00%
35,00%
11,00%
Totalmente de acuerdo
De acuerdo
Indiferente
En desacuerdo
Totalmente en desacuerdo
110
Pregunta Nº10
10. ¿Cree Ud. que la implementación de una arquitectura de seguridad para la red
de daos de la Cdla. Salvador Allende solvente las falencias de disponibilidad de
sus servicios tecnológicos, mitigue las vulnerabilidades y proteja la información de
la UG de terceros?
Cuadro Nº57 Valores Estadísticos Pregunta 10
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Gráfico N° 36 Valores Estadísticos Pregunta 10
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Análisis:
Según los datos recolectados el 64% de encuestados considera que la
implementación de una arquitectura de seguridad para la red de datos es una
opción para proteger la información y solventar falencias actualmente presentes,
el 27% es indiferente y el 9% no está de acuerdo.
Selección Frecuencia
Absoluta
Frecuencia Relativa Porcentajes
Totalmente de acuerdo 156 0.3805 38%
De acuerdo 105 0.2561 26%
Indiferente 112 0.2732 27%
En desacuerdo 15 0.0366 4%
Totalmente en desacuerdo 22 0.0537 5%
TOTAL 410 1 100%
38,00%
26,00%
27,00%
4,00% 5,00%
Totalmente de acuerdo
De acuerdo
Indiferente
En desacuerdo
Totalmente en desacuerdo
111
CAPÍTULO IV
RESULTADOS, CONCLUSIONES Y RECOMENDACIONES
RESULTADOS
Los resultados que se obtuvieron durante el modelamiento del diseño de
arquitectura de seguridad se detallan a continuación:
Se analizó el diseño de red de datos actual de la Universidad de Guayaquil
en su Ciudadela Universitaria Salvador Allende para el posterior
modelamiento del diseño.
Se determinó por observación directa y por las encuestas realizadas a el
personal encargado de IT de las facultades y de División de Centro de
Computo que no existen políticas de seguridad establecidas y tampoco un
diseño de arquitectura de seguridad al cual se rija la infraestructura
tecnológica de la UG.
Se realizó el modelamiento del diseño de arquitectura de seguridad para
la red de datos de la Universidad de Guayaquil en base a modelos de
arquitecturas de seguridad similares que aportaron al desarrollo del mismo.
CONCLUSIONES
Una vez diseñada la arquitectura de seguridad, para la implementación de esta
propuesta para la red de datos de la Universidad de Guayaquil se debe contar con
el apoyo total de la rectoría y autoridades competentes para que sea reconocido
y aprobado económicamente.
112
También es necesario que todo el personal que esté a cargo de las dependencias
tecnológicas, estén capacitados y certificados en criterios de seguridad de la
información para que administren de forma correcta y tengan un mejor control
sobre la red de datos de la UG.
Además este estudio demuestra que es necesaria la actualización continua de los
mecanismos de seguridad en base a las necesidades de la institución y a los
avances tecnológicos ya que sin ellos es imposible garantizar el correcto
funcionamiento de los sistemas y servicios informáticos que se ejecutan en la red
y mucho menos la aplicación de seguridades.
Los estudiantes de la Universidad de Guayaquil concluyen que el criterio de
disponibilidad de los servicios informáticos no se cumple a cabalidad y afirman
que los mismos deben estar siempre disponibles como los sistemas de
matriculación y sistemas académicos como ya lo han experimentado en los
últimos procesos de matriculación, hacen hincapié según las encuestas que los
administradores o encargados de IT sean personas especializadas para que así
la información y sistemas de la UG estén siempre protegidos, por ende, denotan
que la aplicación de un diseño de arquitectura de seguridad robustezca las
falencias de disponibilidad de sus servicios tecnológicos, mitigue las
vulnerabilidades y amenazas, y proteja la información de la Universidad de
Guayaquil de terceras personas.
RECOMENDACIONES
En base a lo estudiado en este proyecto, se han considerado las siguientes
recomendaciones para fortalecer el modelo de arquitectura de seguridad
propuesto
Capacitar al área encargada de IT en temas de seguridad de la información
o en su defecto crear este rol o área la cual efectuará el proceso de mejora
continua con el fin de no descuidar la administración y control de los
mecanismos de información.
113
Crear campañas de concientización en base a normativas como ITIL al
personal administrativo, docente y estudiantes para que todos trabajen
para el bien común y protección de los activos tecnológicos e información
de la universidad de Guayaquil.
Considerar que el diseño del proyecto de arquitectura de seguridad
incluyendo sus políticas de seguridad, deberán basarse exclusivamente en
las necesidades de la institución, es decir, se debe evitar cualquier
descuido administrativo y facilismos que al final generen vulnerabilidades.
Actualizar constantemente los firmwares y parches que publican los
fabricantes de los dispositivos de comunicación, mecanismos de
seguridad, sistemas operativos de servidores y terminales de trabajo.
Revisar paulatinamente el tiempo de vida útil de los equipos de cómputo
para posteriormente considerar la depreciación de hardware obsoleto
como servidores, Appliance y terminales de trabajo.
Considerar al momento de adquirir un nuevo equipo la compra de garantías
extendidas o “care packs” que ofrecen los fabricantes de equipos de
cómputo en el caso de cualquier imprevisto o daño en el hardware de los
equipos.
114
BIBLIOGRAFÍA
Achaerandio, L. (2010). Iniciación a la práctica de la investigación. Ciudad de
Guatemala, Guatemala: Universidad Rafael Landivar.
Balaguer, I. M. (2012). La nueva versión ISO 27001:2013 Un cambio en la
integración de los sistemas de gestión.
Daya, B. (2009). Network Security: History, Importance, and Future.
EL UNIVERSO. (7 de Marzo de 2013). Obtenido de Investigan Hackeo del Sistema
de la UESS: http://www.eluniverso.com/2013/03/07/1/1528/investigan-
hackeo-sistema-uees.html
Estuardo, A. (2012). Estadistica y probabilidades. Chile: Universidad Católica de
la Santisima Concepcion.
Galdámez, P. (s.f.). Seguridad Informatica. España.
Hernández Sampieri, R., Fernández Collado, C., & Baptista Lucio, P. (2010).
Metodologia de la Investigacion. Naucalpan de Júarez, Mexico: McGraw-
Hill.
Institute, S. (2006). Introduction to Information System Risk Management.
Killmeyer, J. (2006). Information Security Architecture. Second Edition, 424. Boca
Raton, Florida, United States of America: Auerbach Publications.
Lee, J.-K. (September de 2013). International Journal of Network Security & Its
Applications.
Lopez, M. M. (2007). Propuesta de Arquitectura de Seguridad de la Red Datos
para la Universidad Simón Bolívar Sede del Litoral. Vargas, Venezuela.
Moya, R. D. (2002). El Proyecto Factible: una modalidad de investigacion.
Caracas, Venezuela.
Normalización, I. E. (2011). Norma Técnica Ecuatoriana NTE INEN - ISO/IEC
27001:2013. Primera Edicion. Quito, Pichincha, Ecuador.
Normalización, I. E. (2012). Norma Técnica Ecuatoriana NTE INEN - ISO/IEC
27000:2012. Primera Edicion. Quito, Pichincha, Ecuador.
Sáez Castillo, A. J. (2012). Apuntes de Estadìstica para Ingenieros. España:
Universidad de Jaén.
Stephens, L., & Spiegel, M. (2009). Estadistica Schaum Cuarta Edición. Mexico:
Mc Graw Hill.
115
UNIVO, U. d. (2008). Manual de Normas de Politicas de Seguridad Informatica.
San Miguel, El Salvador.
Young, E. &. (2011). Seguridad de la Informacion en un mundo sin fronteras.
ANEXOS
ANEXO N° 1 – CRONOGRAMA DEL
PROYECTO
Cuadro Nº 58 Cronograma del Proyecto
Nombre de tarea Duración Comienzo Fin
ELABORACIÓN DEL CAPÍTULO I - EL PROBLEMA
12 días mar 1/9/15 mié 16/9/15
REDACCIÓN DEL PLANTEAMIENTO DEL PROBLEMA, CAUSAS-CONSECUENCIAS, DELIMITACIÓN, EVALUACIÓN
5 días mar 1/9/15 lun 7/9/15
REDACCIÓN DE OBJETIVOS, ALCANCES Y JUSTIFICACIÓN.
5 días mar 8/9/15 lun 14/9/15
MODIFICACIONES DE ACUERDO A FORMATO ESTABLECIDO.
2 días mar 15/9/15 mié 16/9/15
ELABORACIÓN DEL CAPÍTULO II - MARCO TEÓRICO
25 días jue 17/9/15 mié 21/10/15
REDACCIÓN DE ANTECEDENTES DEL ESTUDIO.
2 días jue 17/9/15 vie 18/9/15
BÚSQUEDA Y RECOPILACIÓN DE INFORMACIÓN PARA FUNDAMENTACIÓN TEÓRICA
8 días sáb 19/9/15 mié 30/9/15
REDACCIÓN DE FUNDAMENTACIÓN TEÓRICA
8 días jue 1/10/15 lun 12/10/15
RECOPILACIÓN DE INFORMACIÓN Y REDACCIÓN DE LA FUNDAMENTACIÓN LEGAL.
3 días mar 13/10/15 jue 15/10/15
REDACCIÓN DE PREGUNTAS A CONTESTARSE.
2 días vie 16/10/15 lun 19/10/15
REDACCION DE DEFINICIONES CONCEPTUALES
2 días mar 20/10/15 mié 21/10/15
LEVANTAMIENTO DE INFORMACIÓN 9 días jue 22/10/15 mar 3/11/15
ELABORACIÓN DE CHECKLIST PARA LEVANTAMIENTO DE INFORMACIÓN EN CENTROS DE CÓMPUTO.
1 día jue 22/10/15 jue 22/10/15
VISITA A LOS CENTROS DE CÓMPUTO DE LAS FACULTADES UBICADAS EN LA CIUDADELA UNIVERSITARIA.
3 días vie 23/10/15 mar 27/10/15
VISITA AL CENTRO DE CÓMPUTO PRINCIPAL - UG
1 día mié 28/10/15 mié 28/10/15
PROCESAMIENTO DE INFORMACIÓN RECOLECTADA.
4 días jue 29/10/15 mar 3/11/15
ELABORACIÓN DEL CAPÍTULO III - METODOLOGIA
16 días mar 3/11/15 mar 24/11/15
REDACCIÓN DEL DISEÑO, MODALIDAD Y TIPO DE LA INVESTIGACIÓN
3 días mar 3/11/15 jue 5/11/15
POBLACIÓN, ELABORACIÓN DE ENCUESTAS Y GUIÓN DE ENTREVISTAS.
3 días jue 5/11/15 lun 9/11/15
APLICACIÓN DE INSTRUMENTOS DE RECOLECCIÓN DE INFORMACIÓN.
5 días mar 10/11/15 lun 16/11/15
OPERACIONALIZACIÓN DE VARIABLES 1 día mar 17/11/15 mar 17/11/15
PROCESAMIENTO Y ANÁLISIS DE DATOS OBTENIDOS.
5 días mié 18/11/15 mar 24/11/15
ELABORACIÓN DEL CAPÍTULO IV - RESULTADOS, CONCLUSIONES Y RECOMENDACIONES.
4 días jue 26/11/15 mar 1/12/15
REVISION DEL DOCUMENTO DE ACUERDO AL FORMATO ESTABLECIDO.
5 días vie 4/12/15 jue 10/12/15
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Gráfico N° 37 Diagrama de Gantt
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
Gráfico N° 38 Diagrama de Gantt
Fuente: Víctor Emilio Silva Bajaña.
Elaborado por: Víctor Emilio Silva Bajaña.
ANEXO N° 2 – DISEÑO PROPUESTO DE
ARQUITECTURA DE SEGURIDAD
MODELO DE ARQUITECTURA DE SEGURIDAD PARA LA RED DE DATOS
DE LA UNIVERSIDAD DE GUAYAQUIL
Introducción
Hoy en día las organizaciones están expuestas a situaciones de alto riesgo, el
mismo que puede venir fuera o dentro de ellas generando incertidumbre y hasta
en muchas ocasiones temor al perder la continuidad del negocio.
La información para cada organización tiene un alto precio al momento de manejar
el negocio y direccionar sus metas, la misma que se convierte en una herramienta
vital y estratégica que permite la estabilidad de la organización.
Es por esto la importancia de la gestión de la información en todos sus niveles de
la organización en sus diversas acciones de tipo, gerencial, administrativo y
tecnológico que garanticen la integridad, disponibilidad y confidencialidad.
La Universidad de Guayaquil, como institución de nivel superior, por su gestión
administrativa, docente y sobretodo su compromiso con los estudiantes tiene
información valiosa, la cual debe estar salvaguardada por una arquitectura segura
y confiable.
Objetivo del proyecto
Proponer un diseño de arquitectura de seguridad a la Universidad de Guayaquil a
partir de modelos de arquitectura seguridad de la información según estándares y
lineamientos que requiere una red de datos, los mismos que están basados en las
necesidades de la institución para así fortalecer la integridad, confidencialidad y
disponibilidad de los recursos y la información.
Alcance del Proyecto
Universidad de Guayaquil en su Ciudadela Universitaria “Salvador Allende”
Esquema de Red Actual Cdla. Salvador Allende
Análisis del Esquema de Red Actual Cdla. Salvador Allende
La red actual de la Cdla. Salvador Allende no cuenta con los mecanismos para
brindar la seguridad de la misma, es necesario fortalecer y robustecer la seguridad
de la información y los recursos tecnológicos además de blindar la infraestructura
de la UG se contribuiría enormemente con el desarrollo y ascenso de categoría
de la misma ya que al parecer se descuida este gran aspecto.
La solución definitiva para este problema es analizar la adaptación de un diseño
de arquitectura de seguridad conformada por la agregación de mecanismos de
seguridad a la infraestructura actual, políticas de seguridad basadas en
estándares y lineamientos internacionales, documentación organizada y
actualizada, concientización de los usuarios en general y un plan de mejora
continua; los mismos que aseguran la disponibilidad, integridad y confidencialidad
de los recursos de la UG.
Diseño de la arquitectura de seguridad
La presente arquitectura de seguridad está ajustada a las necesidades de la
Universidad de Guayaquil, ya que la misma no cuenta con los mecanismos
necesarios para las funciones de la institución, por ello se conforma en las
siguientes fases:
Niveles de Seguridad/Evaluación de Riesgos
Se establecen los mecanismos de seguridad que posteriormente conformarán el
esquema de red, dichos mecanismos se ubicarán según el rol que vayan a cumplir
todo esto en función a la seguridad en profundidad. Para aplicar la seguridad en
profundidad antes se deben haber analizado los posibles riesgos que pueda
afrontar una organización, en este caso la Universidad de Guayaquil.
Por esta razón se evalúa sistemáticamente todos los acontecimientos, los mismos
que son clasificados y codificados según su nivel de impacto y a su vez se definen
las soluciones inmediatas a los mismos.
Para esto se han clasificado por capas:
Datos: Se debe proteger todo el contenido de los datos que conforman la
información de la institución en general.
Aplicación: Las aplicaciones y programas que diariamente utilizan los
usuarios para realizar sus labores, aquí se debe tener mucho cuidado ya
que interactúa directamente con los datos de una organización.
Host: Cada terminal de trabajo cuenta con un rol y un privilegio distinto en
una organización, por esto se deben aplicar las configuraciones correctas
con los aplicativos y herramientas adecuadas para el buen uso de este
bien tecnológico.
Red Interna: En la red interna es donde más cuidado se debe tener, por lo
cual se implementan mecanismos interconectados en la red local con el fin
de controlar y gobernar las actividades que se realizan en ella.
Perímetro: Aquí se integran los elementos y sistemas de seguridad de la
información para la protección de la red interna, para evitar intrusiones de
personas no autorizadas y prevenir cualquier amenaza externa.
Seguridad Física: en este nivel se establecen medidas para proteger a la
infraestructura civil de la red de datos y por ende la información que se
encuentre en ella.
Para el esquema de red de la arquitectura de seguridad las capas se las incluyo
en 3 grupos:
Infraestructura (Hosts, Red Interna, Perímetro y Seguridad Física)
Aplicación
Servicios (Datos)
Estas capas o niveles son controlados por políticas, estándares y procedimientos
que velan por la mejora continua y dan las directrices para el correcto uso y
funcionamiento de los servicio de la Universidad de Guayaquil, todo esto va de la
mano con la capacitación constante y campañas internas sobre seguridad de la
información al personal que labora en la institución para concientizar lo valioso
que es la información en una organización.
Infraestructura Organizada
Para una correcta administración, es importante tener documentación actualizada
de la infraestructura de red, servicios y aplicaciones. Todos los sucesos, logs y
eventos deben de estar registrados y los mismos deben ser constantemente
auditados.
Se debe contar con un registro o documento del nivel de escalamiento el cual,
ayudara a mitigar y solventar los problemas de mejor manera. El mismo que debe
de contar con los nombres del colaborador de cada nivel, cargo, área o
aplicaciones de las cuales es responsable.
Políticas, Estándares y Procedimientos
Como institución, la Universidad de Guayaquil debe de contar con políticas de
seguridad basadas en estándares internacionales las cuales deben de ser
ajustadas a sus necesidades, aquí se indicaran todos los lineamientos que
deberán seguir el personal que confirma la institución. Dichas Políticas de
seguridad se irán aplicando según los procedimientos que tomen los encargados
de IT o como recomendación, un nuevo departamento o área de seguridad de la
información.
Concientización y capacitación a Usuarios
Los usuarios son considerados como la primera amenaza en una organización, es
de conocimiento general que la mayoría de organizaciones sufren robos,
sabotajes y alteraciones en su información. Sin embargo se pueden disminuir todo
este tipo de inconvenientes realizando campañas y/o capacitaciones acerca de la
seguridad de la información.
Cumplimiento
Es recomendable luego de la implementación de una arquitectura de seguridad
realizar auditorías e inspecciones periódicamente. Las auditorías deben ser
realizadas por una persona interna y por una persona o entidad externa la cual
validaran, medirán y corregirán todos los descuidos que ocurran en una
infraestructura tecnológica.
Presentación de la solución global de la Arquitectura de Seguridad
Análisis de la arquitectura de seguridad propuesta
El modelo de arquitectura de seguridad se concentra y se ajusta a la
infraestructura civil de División de Centro de Computo, con el fin de mantener la
administración centralizada. A continuación se analizara la arquitectura de
seguridad propuesta.
Infraestructura
Hosts: Se deben aplicar las configuraciones correctas a cada computador de la
Universidad de Guayaquil, tales como:
Habilitación de Firewall.
Instalación de Antivirus y actualización de definiciones de virus y spyware.
Comprobación de actualizaciones en el Sistema Operativo.
Configuraciones de correo electrónico y verificación de firma (si tuviere).
Instalación de Programas y Aplicativos según cada rol de los
colaboradores.
Limitación de opciones del Sistema Operativo.
Red Interna: Se toman a consideración las siguientes políticas:
Creación de Vlans.
Port Security.
Agregación de equipos por MAC Address.
QoS.
La autenticación de usuarios se controlara mediante un Directorio Activo con sus
servicios replicado en otro, para poder asegurar la autenticación de los usuarios a
sus computadores, tener siempre disponible la administración de las contraseñas,
directivas de grupo y sus privilegios.
La autenticación inalámbrica de la red administrativa se controlara por servidores
AAA, el cual controlara el acceso a los routers wi-fi restringiendo el acceso a
personas no autorizadas. La red inalámbrica para estudiantes será una red
totalmente libre con la diferencia de que esta red no tiene acceso a la red
administrativa de la UG.
Perímetro: Para este nivel se ha considerado la recomendación del uso de firewall
con contingencia de tal manera, balancea la carga y se asegura que las
conexiones entrantes y salientes estén siempre activas y disponibles. Además se
controlara con un firewall adicional las conexiones VPN hacia las extensiones y
facultades que están fuera de la Ciudadela Salvador Allende para no sobrecargar
los firewalls.
Se aplica también la implementación de un Proxy Http que controlara y filtrara el
contenido web gestionando de mejor manera el uso del servicio de internet
brindando los privilegios como lo requiera el rol de cada colaborador.
Se pone en consideración la implementación de una red DMZ, ubicando en la
misma los servidores públicos, además se adopta un servidor en modo Honeypot
con el fin de analizar y estudiar a los atacantes para así poder aprender y corregir
las vulnerabilidades.
Además se considera la puesta en marcha de un monitor de red el cual nos
permitirá mantenernos informados de todos los sucesos y acontecimientos que se
ejecutan en nuestra red interna como externa también un IPS para la prevención
y detección de intrusos.
Seguridad Física: Se establecen los controles por seguridad física, realizar un
informe y/o registro de entrada y salida de Data Center y cuartos de
comunicaciones en cada facultad de la ciudadela Salvador Allende, así evitamos
desastres y la confidencialidad e integridad de la información se mantendrán.
Se pone a consideración los accesos por biometría y la vigilancia permanente por
cámaras en circuito cerrado.
Aplicaciones: Para el acceso a las aplicaciones se utilizaran las funcionalidades
que nos brinda un Directorio Activo, utilizando de esta manera el mismo usuario y
contraseña evitando la perdida y olvido de los mismos. También se controlara el
acceso a las aplicaciones web internas mediante certificados digitales para los
usuarios externos, asi nos ayuda a cifrar las comunicaciones y firmar digitalmente.
Datos: La disponibilidad de los datos la aseguramos en este modelo con
servidores Backup en replica que tendrán la respaldada siempre disponible. Los
recursos compartidos estarán disponibles en un servidor de Storage el cual su
acceso será controlado también por el directorio activo.
Además los servidores de Base de datos para este diseño se recomienda que
tengan contingencia o réplica ya que, es vital para la operación diaria la
disponibilidad de los mismos.
Conclusión: El presente modelo de arquitectura cumple con las necesidades y
requerimientos inmediatos que la Universidad de Guayaquil en su ciudadela
universitaria “Salvador Allende” que por observación directa, carece de la misma.
Los controles y mecanismos de seguridad recomendados fortalecen a simple vista
las seguridades actuales, la misma que solo posee firewall y certificados digitales
para sitios web.
Propuesta Económica
De acuerdo a al estudio realizado a la infraestructura de la Ciudadela Salvador
Allende, se requiere la provisión de los siguientes equipos y licencias, esta
propuesta esta dimensionada en base a las características técnicas y software
(software libre queda a consideración por motivo de publicación de nuevos
productos) que requiere el diseño de arquitectura de seguridad propuesto
Numero de Parte Descripcion Cant. Precio Unitario Total
HP DL380p Gen8 E5-2630v2 Base US Svr
(1) Intel Xeon 6-Core E5-2630 v2 (2.6GHz) / 15MB L3 cache / 16GB
(1x16GB)
PC3L-12800R RDIMM / HP Ethernet 1Gb 4-port 331FLR Adapter / HP Smart
Array P420i/1GB FBWC Controller (RAID 0/1/1+0/5/5+0/6/6+0) / (8) SFF
SAS/SATA HDD bahias / (3) slots PCIe 3.0 / (1) 460W Fuente de poder CS
Platinum+ Hot Plug / (4) Ventiladores Hot Plug, Redundantes N+1 / Rack
(2U) / 3 años en piezas, mano de obra, on site
713985-B21 HP 16GB 2Rx4 PC3L-12800R-11 Kit 2 282,97$ 565,94$
715220-B21 HP DL380p Gen8 E5-2630v2 Kit 2 866,17$ 1.732,34$
652564-B21 HP 300GB 6G SAS 10K 2.5in SC ENT HDD 8 317,12$ 2.536,96$
U2GC1E HP 3y 24x7 DL38x(p) Foundation Care Service 2 413,82$ 827,64$
656362-B21 HP 460W CS Plat PL Ht Plg PS Kit DL360p/DL380p Gen8 Base 2 229,36$ 458,72$
TOTAL SIN IVA 13.278,59$
Numero de Parte Descripcion Cant. Precio Unitario Total
HP DL380p Gen8 E5-2630v2 Base US Svr
(1) Intel Xeon 6-Core E5-2630 v2 (2.6GHz) / 15MB L3 cache / 16GB
(1x16GB)
PC3L-12800R RDIMM / HP Ethernet 1Gb 4-port 331FLR Adapter / HP Smart
Array P420i/1GB FBWC Controller (RAID 0/1/1+0/5/5+0/6/6+0) / (8) SFF
SAS/SATA HDD bahias / (3) slots PCIe 3.0 / (1) 460W Fuente de poder CS
Platinum+ Hot Plug / (4) Ventiladores Hot Plug, Redundantes N+1 / Rack
(2U) / 3 años en piezas, mano de obra, on site
652583-B21 HP 600GB 6G SAS 10K 2.5in SC ENT HDD 2 508,51$ 1.017,02$
U2GC1E HP 3y 24x7 DL38x(p) Foundation Care Service 1 413,82$ 413,82$
656362-B21 HP 460W CS Plat PL Ht Plg PS Kit DL360p/DL380p Gen8 Base 1 229,36$ 229,36$
TOTAL SIN IVA 5.238,69$
Numero de Parte Descripcion Cant. Precio Unitario Total
HP DL380p Gen8 E5-2630v2 Base US Svr
(1) Intel Xeon 6-Core E5-2630 v2 (2.6GHz) / 15MB L3 cache / 16GB
(1x16GB)
PC3L-12800R RDIMM / HP Ethernet 1Gb 4-port 331FLR Adapter / HP Smart
Array P420i/1GB FBWC Controller (RAID 0/1/1+0/5/5+0/6/6+0) / (8) SFF
SAS/SATA HDD bahias / (3) slots PCIe 3.0 / (1) 460W Fuente de poder CS
Platinum+ Hot Plug / (4) Ventiladores Hot Plug, Redundantes N+1 / Rack
(2U) / 3 años en piezas, mano de obra, on site
652583-B21 HP 600GB 6G SAS 10K 2.5in SC ENT HDD 2 508,51$ 1.017,02$
U2GC1E HP 3y 24x7 DL38x(p) Foundation Care Service 1 413,82$ 413,82$
656362-B21 HP 460W CS Plat PL Ht Plg PS Kit DL360p/DL380p Gen8 Base 1 229,36$ 229,36$
TOTAL SIN IVA 5.238,69$
Numero de Parte Descripcion Cant. Precio Unitario Total
HP ProLiant DL360p Gen8 E5-2630v2 2 3.280,43$ 6.560,87$
HP 16GB (1x16GB) Dual Rank x4 PC3-12800R (DDR3-1600) Reg CAS-11 Memory Kit2 288,04$ 576,09$
HP 1TB 6G SAS 7.2K rpm SFF (2.5-inch) SC Midline 1yr Warranty Hard Drive4 573,91$ 2.295,65$
HP Smart Array P420i/1GB with FBWC (RAID 0/1/1+0/5/5+0/6/6+0) 2 -$ -$
HP 460W CS Plat PL Ht Plg Pwr Supply Kit 2 234,35$ 468,70$
HP Care Pack 3 Year (24 x 7) 4 Hour Onsite Foundation Care 2 410,87$ 821,74$
TOTAL SIN IVA 10.723,04$
Numero de Parte Descripcion Cant. Precio Unitario Total
Synology DS216 (2 HDD WD RED 8TB 3.5) 2 3.065,00$ 6.130,00$
TOTAL SIN IVA 6.130,00$
SERVIDORES DB Principal y Redundancia
SERVIDORES BackUp
SERVIDOR Active Directory, AAA Server y Cert Server
704559-001 1 3.578,49$ 3.578,49$
SERVIDOR 1 Web, FTP, Sistema Academico SERVIDOR 2 REDUNDANCIA Web
704559-001 2 3.578,49$ 7.156,99$
SERVIDOR Firewall, IPS, Honeypot y Network Monitor
704559-001 1 3.578,49$ 3.578,49$
En el valor total no se considera el costo de la implementación (puesta en marcha)
por lo que se considera que por factores de seguridad lo realice el personal de TI
interno de la UG.
Numero de Parte Descripcion Cant. Precio Unitario Total
HP ProLiant DL160 Gen9 E5-2603v3 1P 8GB-R B140i 4LFF 550W
PS Entry Server 21.251,09$ 2.502,17$
HP 8GB 1Rx4 PC4-2133P-R Kit 2 183,70$ 367,39$
HP 300 6G SAS 7.2K 3.5in SC MDL HDD 4 210,00$ 840,00$
HP H240 Smart HBA 2 183,70$ 367,39$
HP DL160 Gen9 4LFF w/ H240 Cbl Kit 2 22,83$ 45,65$
HP Server RPS Backplane Kit 2 170,65$ 341,30$
HP 800W/900W Gold AC Power Input Module 2 116,30$ 232,61$
HP 3y 24x7 DL160 Gen9 FC SVC 2 394,57$ 789,13$
TOTAL SIN IVA 5.485,65$
Numero de Parte Descripcion Cant. Precio Unitario Total
Windows Server Estándar 2012: WinSvrStd 2012R2 SNGL OLP NL 2Proc 5 979,78$ 4.898,89$
Sql Server Estandar 2012 por Core: SQLSvrStdCore 2014 SNGL OLP 2Lic NL CoreLic Qlfd2 3.981,00$ 7.962,00$
TOTAL SIN IVA 12.860,89$
Numero de Parte Descripcion Cant. Precio Unitario Total
Sangoma AFT card four T1/E1 PCI-Express w/hw echo canceller 1 3.000,00$ 3.000,00$
TOTAL SIN IVA 3.000,00$
Numero de Parte Descripcion Cant. Precio Unitario Total
ESET Endpoint Antivirus ‐ Incluye Mantenimiento por 1 año 1500 36,00$ 54.000,00$
TOTAL SIN IVA 54.000,00$
Numero de Parte Descripcion Cant. Precio Unitario Total
VMware vSphere 5 Essentials Kit for 3 hosts (Max 2 processors per host) 3 592,11 1776,33
Subscription only for VMware vSphere 5 Essentials Kit for 1 year 3 87,47 262,41
TOTAL SIN IVA 2.038,74$
117.994,31$
TARJETA TELEFONIA
SERVIDOR 1 Firewall Redundancia, Consola Antivirus VPN SERVIDOR 2 PBX
ANTIVIRUS
LICENCIAMIENTO VMWARE
VALOR TOTAL SIN IVA
LICENCIAS MICROSOFT
ANEXO N° 3 – ENCUESTA A ESTUDIANTES
DE LA UNIVERSIDAD DE GUAYAQUIL
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN NETWORKING
ENCUESTA
Objetivo: Obtener información sobre su opinión sobre la aplicación de un diseño
de arquitectura de seguridad para la red de datos de la Universidad de Guayaquil
en la Ciudadela Universitaria “Salvador Allende”
Instrucciones
Para la resolución de este cuestionario, escriba el número que corresponde en la
casilla del lado derecho. Por favor conteste de manera franca y honesta, su
identidad en la presente quedara en el anonimato.
I. INFORMACIÓN GENERAL (Sírvase señalar el número que corresponde)
Condición del informante
1. Edad del Encuestado:
1.- 18 20 años
2.- 21 25 años
3.- 26 30 años
4.- 31 35 años
5.- 36 50
2. Sexo:
1. Hombre
2. Mujer
II. INFORMACIÓN ESPECÍFICA
Totalmente de acuerdo, 2. De acuerdo, 3. Indistinto, 4. En desacuerdo, 5.
Totalmente en desacuerdo
ESCALA VALORATIVA
INDICADORES
TA
1
DA
2
I
3
ED
4
TD
5
3. ¿Considera Ud. que es totalmente confiable y seguro
el acceso a los sistemas de la UG (Universidad de
Guayaquil)?
4. ¿Cree Ud. de los servicios tecnológicos y la
información de la UG deben estar siempre disponibles?
5. ¿Considera Ud. que es de vital importancia la
protección de la información de los sistemas de la UG
como los de matriculación, sistemas académicos,
financieros, etc.?
6. ¿Considera Ud. que los servicios tecnológicos de la
UG deben ser administrados por personal especializado
y constantemente capacitado?
7. ¿Cree Ud. que el servicio de internet que provee la UG
a los estudiantes y docentes debe ser exclusivo para
actividades académicas?
8. ¿Cree Ud. que se deben de establecer controles para
que los usuarios (docentes, personal administrativo y
estudiantes) no modifiquen datos de los sistemas de la
UG en general de un modo no autorizado?
9. ¿Considera Ud. que los mecanismos de seguridad de
la información implementados actualmente en la UG son
eficaces y eficientes para la protección de los datos y
garantizan la continuidad del servicio?
10. ¿Cree Ud. que la implementación de una arquitectura
de seguridad para la red de datos de la Cdla Salvador
Allende solvente las falencias de disponibilidad de sus
servicios tecnológicos, mitigue las vulnerabilidades y
proteja la información de la UG de terceros?
ANEXO N° 4 – ENCUESTA A PERSONAL DE
TI DE LA UNIVERSIDAD DE GUAYAQUIL
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN NETWORKING
ENCUESTA
Objetivo: Obtener información sobre su opinión sobre la aplicación de un diseño
de arquitectura de seguridad para la red de datos de la Universidad de Guayaquil
en la Ciudadela Universitaria “Salvador Allende”
Instrucciones
Para la resolución de este cuestionario, escriba el número que corresponde en la
casilla del lado derecho. Por favor conteste de manera franca y honesta, su
identidad en la presente quedara en el anonimato.
III. INFORMACIÓN GENERAL (Sírvase señalar el número que corresponde)
Condición del informante
1. Edad del Encuestado:
1.- 18 24 años
2.- 25 34 años
3.- 35 44 años
4.- 45 54 años
5.- 55 - años en adelante
2. Sexo:
1. Hombre
2. Mujer
IV. INFORMACIÓN ESPECÍFICA
1. Totalmente de acuerdo, 2. De acuerdo, 3. Indistinto, 4. En desacuerdo, 5.
Totalmente en desacuerdo
ESCALA VALORATIVA
INDICADORES
TA
1
DA
2
I
3
ED
4
TD
5
3. ¿Considera Ud. que es necesaria la capacitación y
certificación continua en criterios de seguridad de la
información de los directores y/o encargados de los
departamentos de cómputo de cada una de las
facultades de la UG?
4. ¿Cree Ud. que los docentes del área IT deban
promover proyectos de tecnologías de seguridad de la
información para fortalecer la infraestructura de la UG?
5. ¿Cree Ud. que es de vital importancia que la
administración de las seguridades sea totalmente
centralizada en la División Centro de Computo de la UG?
6. ¿Considera Ud. que es totalmente confiable y seguro
el acceso a los sistemas de la UG?
7. ¿Cree Ud. que la pérdida, robo, sabotaje y alteración
de la información tiene un impacto muy grave sino se
aplican criterios de seguridad de la información en la UG?
8. ¿Considera Ud. de los servicios tecnológicos y la
información deben estar siempre disponibles?
9. ¿Considera Ud. que la Universidad de Guayaquil
debería tener una arquitectura de seguridad de la
información en su red de datos?
10. ¿Cree Ud. que es necesaria la evaluación de los
riesgos en la infraestructura, servicios y aplicaciones de
la Universidad de Guayaquil?
11. ¿Considera Ud. que es importante la aplicación de
medidas de control de riesgo ante problemas de
continuidad del servicio tecnológico o ante problemas de
robo/perdida de la información?
12. ¿Cada cuánto tiempo se actualiza o se adquiere equipamiento tecnológico?
1. Cada 3 años
2. Cada 5 años
3. Cada 10 años
4. 11 años en adelante
13. ¿Indique los mecanismos de seguridad de la información recomendaría para
su área a cargo?
1. Firewall
2. Uso de certificados digitales
3. Control de la Autenticación de usuarios
4. Soluciones AntiMalware
5. Soluciones de Respaldo de Información
INFORMACIÓN COMPLEMENTARIA
14. Años de ejercicio en IT del encuestado
1. 1- 10 años
2. 11-20 años
3. 21-30 años
4. 31-40 años
5. 41- en adelante
15.- Titulo del encuestado
1. Ingeniero (a) Sistemas / Computación / Estadística Informática
2. Licenciado (a) Sistemas / Computación / Estadística Informática
3. Ingeniero (a) Otras especialidades
4. Grado de Maestría
5. Doctor (a)
6. Otro
ANEXO N° 5 – CHECKLIST DE
LEVANTAMIENTO DE INFORMACION
Seguridad en las instalaciones:
¿Los puntos de acceso civil están asegurados?
SI NO Acción Requerida
Puertas/Portones
Casilleros
Ventanas
Salidas de emergencia
¿La institución está vigilada?
SI NO Acción Requerida
Porteros
Servicio de seguridad física
Sistema de Alarma
Sistema de Video vigilancia
Control de acceso a determinado grupo de personas a las zonas
especiales o restringidas
SI NO Acción Requerida
Se lleva un control de acceso a los edificios de las facultades o al menos
una parte de los mismos?
SI NO Acción Requerida
Archivo
Contabilidad
Caja chica
Cajas de seguridad
Data Centers/Cuarto de
Comunicaciones
El material critico se desecha de forma segura
SI NO Acción Requerida
Datos Contables
Logs, capturas de pantalla
Documentación impresa en
general
Computadores y piezas
Disponen de medios de almacenamiento?
SI NO Acción Requerida
Flash Drives
Discos Duros
CD, DVD
Tapes / Cintas Magnéticas
Otros
Red Interna / WLAN
¿Ud. labora dentro de la red interna
de la UG?
SI NO
¿Cuál sistema operativo utiliza? SI NO
Windows
Linux
UNIX
OSx
¿Tiene documentación?
SI NO Acción Requerida
Puntos de Red
Terminales de trabajo
conectadas
Impresoras
Esquema de la red
Otros dispositivos
Redes Wireless / WLAN
Cual tipo:
SI NO Acción Requerida
Control de acceso /
encriptación
¿Como se controla el acceso/conexión a la red?
SI NO Acción Requerida
Switch / patch panel
MAC Addresses
Encriptación
Como se controla la conexión de dispositivos/equipos a la red?
Abierto Controlado Acción Requerida
Activar Ordenadores
Creación de usuarios y
aprobación de dispositivos
¿Tiene documentación acerca de la arquitectura y los componentes de la
red?
SI NO Acción Requerida
Documentación Actualizada
Roles y Responsabilidades
Definidas
Copia de seguridad de datos / Protección de datos / Copia de Documentos
Originales
Cuantos Computadores Utilizan
Tipo/Fabricante
Sistema Operativo
¿Tiene un servidor de archivos centralizado?
Tipo/Fabricante:
Sistema Operativo:
Empleado Tercero Desconocidos
Instalación del servidor
¿Cronogramas?
Configuración Documentada
¿Son redundantes los dispositivos de almacenamiento masivo?
SI NO Acción Requerida /
Planificación
RAID
Servidor en Espejo
Backup / Servidor de Pruebas
¿Dónde se almacenan los documentos en papel?
SI NO Acción Requerida /
Planificación
Oficina
Archivo
Fuera de las dependencias
¿El personal administrativo esta capacitado para almacenar los datos en
el servidor de archivos?
SI NO Acción Requerida /
Planificación
¿Usan dispositivos externos?
SI NO Acción Requerida /
Planificación
USB
CD
DVD
Servidor de Documentos
¿Cómo se puede archivar datos electrónicos?
SI NO Acción Requerida /
Planificación
Oficina
Archivo
Fuera de las dependencias
¿Está el control de acceso para archivos y datos en su lugar?
SI NO Acción Requerida /
Planificación
Usuario / Contraseña
Carpetas publicas/ privadas
Control del acceso a la BD
Otros
Responsabilidad de control de
acceso definida
Administración del acceso /
usuario / contraseña definidas
Comprobación del
cumplimiento de directivas
Copia de seguridad de datos
de las aplicaciones
Actividades Cotidianas
Mensuales
Raramente
Respaldo de aplicaciones
Aplicaciones standard
adquiridas
Aplicaciones personalizadas
adquiridas
Aplicaciones desarrolladas
internamente
¿Cómo están respaldados los
datos?
Aplicaciones Standard
Aplicaciones de Respaldo
Sistemas desarrollados
internamente
¿Existe una copia de
seguridad informática?
Responsabilidad de copia de
seguridad definida
Respaldo de datos
comprobados
Documentación disponible
¿Cuáles son los medios de
respaldo que utilizan?
Discos
Tapes
CD/DVD
External drives/ Discos Duros
removibles
Realiza copias de seguridad
en servidores externos a
través de una conexión segura
a internet
Realiza copias de seguridad
en unidades extraíbles
Almacenamiento externo de
medios de copia de seguridad
Acceso a las copias de
seguridad externas
Se etiqueta los medios de
copia de seguridad
Sobrescribe los medios de
copia de seguridad de acuerdo
a un horario
Respaldo externo disponible
Acceso a los medios
originales
Se registra el acceso a los
medios originales
Instalación de medios
originales
Software Licenciado
Compatible con nuevo
hardware
Comprobación de los
acuerdos de licencia
Existe una revisión regular
Existe una actualización
programada de la
documentación
Copias de seguridad de más
de 12 meses
Pueden todavía ser leídas
Son probadas con regularidad
Son copiadas en nuevos
medios
Se autoriza el uso de los
medios de almacenamiento
portátiles como memorias
USB o discos duros
extraíbles?
¿Tiene un plan de
emergencia?
El plan de emergencia es
probado con regularidad
ANEXO N° 6 – MODELO DE POLITICAS DE
SEGURIDAD PARA LA UNIVERSIDAD DE
GUAYAQUIL
UNIVERSIDAD DE GUAYAQUIL
POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN
Asunto: Estas políticas de seguridad se proporcionan a todos los miembros de la
comunidad universitaria para establecer requisitos para cada individuo a seguir
con el fin de salvaguardar la académica de la universidad y recursos de
información administrativa.
I. ALCANCE
La Universidad de Guayaquil (UG) lleva a cabo una parte significativa de sus
operaciones a través de una red de computadoras cableada e inalámbrica. La
confidencialidad, integridad y disponibilidad de los sistemas de información, las
aplicaciones y los datos almacenados y transmitidos a través de estas redes son
fundamentales para la reputación y el éxito de la universidad. Los sistemas
informáticos de la UG y los datos se enfrentan a un sin número de amenazas que
siempre están actualizándose.
La UG se compromete a proteger sus sistemas y datos de estas amenazas, y por
lo tanto ha adoptado los siguientes objetivos para lograr un razonable grado de
seguridad de tecnología de la información:
Permitir que todos los miembros de la comunidad universitaria puedan
lograr su objetivo académico o de trabajo administrativo a través del
uso de una tecnología segura, eficiente y ambiente fiable.
Proteger la información académica, administrativa y personal de las
actuales y futuras amenazas se debe salvaguardar su confidencialidad,
integridad y disponibilidad.
Establecer políticas y procedimientos adecuados para proteger los
recursos de información del robo, abuso, mal uso, o cualquier forma de
daño significativo al tiempo que permita a los miembros de la
comunidad a cumplir con sus funciones.
Establecer la responsabilidad y la rendición de cuentas de seguridad
de tecnología de la información dentro de la institución.
Fomentar y apoyar a la gestión, del profesorado, del personal y de los
estudiantes para mantener un adecuado nivel de conciencia,
conocimientos y habilidades que les permitan minimizar la aparición y
gravedad de los incidentes de seguridad de tecnología de la
información.
Asegurar que la universidad es capaz de responder eficazmente a,
contener y tratar significativamente los incidentes de seguridad,
mientras que es capaz de continuar su instrucción, investigación y sus
ocupaciones administrativas.
No hay ningún interés por parte de la universidad para coartar la libertad
académica o el habla personal derechos, ni para supervisar o realizar un
seguimiento de la conducta personal por razones no relacionadas con las
operaciones técnicas o el cumplimiento de estas políticas. Los procedimientos
automatizados se utilizan para evaluar y procesar potencialmente una
actividad relevante, lo que limita el grado de participación del personal
individual.
II. DECLARACIÓN DE POLÍTICA
Los sistemas de comunicación, de la información y los recursos son activos
esenciales de la UG. Todas las comunidades son responsables de asegurar que
las instalaciones de computación y comunicación se utilizan de manera eficaz, de
manera eficiente, ética y legal.
Si bien es cierto, estas políticas se identifican con muchos roles y
responsabilidades para salvaguardar los recursos de información; no pueden
posiblemente cubrir todas las situaciones o futuros desarrollos. Por lo tanto, esto
debe ser considerado un "documento vivo '' que será modificado o cambiado como
requieren las necesidades. Será revisado en al menos una vez al año para las
correcciones y para garantizar el cumplimiento de las normas y reglamentos
vigentes.
III. DEFINICIONES
El acceso a la red requiere de una relación autorizada con la universidad,
normalmente se demuestra la existencia de credenciales actuales dentro de
los sistemas. Además, los usuarios deben:
Estar de acuerdo en cumplir con todas las políticas aplicables.
Cooperar con el proceso de registro de cada dispositivo que se utiliza
para el acceso a la red, incluyendo computadoras de escritorio y
portátiles, smartphones y estaciones de conexión.
Familiarizarse con los procedimientos de operación y requisitos únicos
de los dispositivos y aplicaciones de software que utilizan.
Los dispositivos interconectados a la Red: Para que un dispositivo para
comunicarse con el Internet o en otros dispositivos unidos a la red de la UG,
se debe en primer lugar:
Estar asociado con una persona autorizada.
Las características de los dispositivos estén registradas en una
base de datos de identificación el mismo que debe ser
examinado de forma automática (y modificado si es necesario)
para garantizar el cumplimiento de estos políticas
Esto proporcionará una seguridad razonable el dispositivo registrado está
controlado y contantemente monitoreado, si no se tomaran estas consideraciones
se podría generar a la interrupción de la red o la exposición de información
sensible, y establece una medida de la responsabilidad individual.
IV.POLÍTICA
A. APLICACIÓN
Estas políticas se aplican a todos los miembros de la comunidad universitaria,
incluyendo estudiantes, profesores, personal, proveedores, voluntarios,
contratistas, consultores y cualquier otra persona que tenga el acceso a la UG de
información o de recursos tecnológicos institucionales.
Estas políticas se aplican a todos los recursos del sistema de información
electrónica de la UG, incluida hardware y software de tecnología de propiedad,
arrendados, o licenciados. Esto incluye hardware y software utilizado para
procesar, almacenar, recuperar y visualizar y transmitir representaciones
electrónicas de datos, voz y contenido de video.
Los equipos de propiedad personal también están cubiertos si se utiliza para
procesar información institucional de la UG o están conectados, directa o
indirectamente, a la red de la UG. La Universidad no accede o modifica el software
o la información almacenada en el equipo de propiedad personal sin el permiso
del propietario; Sin embargo, el acceso a la red de la UG puede ser negado o
limitado a menos que estas políticas se cumplan plenamente.
B. SEGURIDAD Y RESPONSABILIDADES
La Seguridad de la tecnología de la información es la responsabilidad de todos los
estudiantes, profesores y personal administrativo. Cuando una persona manipula
la información o utiliza los recursos de información de la universidad se espera
que observe estas políticas y procedimientos de seguridad de tecnología de la
información, tanto durante como, después de su estancia en la universidad.
C. NORMAS
El entorno tecnológico de la Universidad de Guayaquil es una red compartida y de
recursos limitados sujetos tanto al abuso malicioso y no deseado. Los sistemas
de computación y otros dispositivos especializados tienen la potencial de introducir
riesgos de seguridad, sobre todo cuando están unidos comunicándose por una
red. Para mitigar el riesgo, se deben considerar las normas para la gestión y la
seguridad de las aplicaciones, estaciones de trabajo, servidores, dispositivos de
red y servicios de terceros se han desarrollado.
Como nuevos equipos o aplicaciones se introducen en el medio ambiente, una
evaluación de riesgos debe llevarse a cabo para garantizar el cumplimiento de
estas normas antes de su uso en la red. Los auditores internos y externos de la
universidad harán periódicamente realizar revisiones de cumplimiento y prueba de
vulnerabilidades en los sistemas de propiedad de la universidad y en las redes
para asegurar que los sistemas y las aplicaciones se actualizan a medida que las
nuevas vulnerabilidades son descubiertas y las amenazas son reveladas.
D. REQUISITOS
General
1. Nombres de usuarios y contraseñas de red
Controles de acceso lógicos pueden o no desalentar el acceso no autorizado a
recursos de información y ayudan a garantizar la responsabilidad individual. Por
lo tanto, los usuarios individuales deben ser identificados y se les otorga los niveles
adecuados de acceso a dispositivos de red por medio de un nombre de usuario
único, junto con una contraseña o alguna otra forma de proceso de autenticación
segura. Un único nombre de usuario está obligado a establecer la responsabilidad
individual en los registros de auditoría, etc. Por esta razón, un usuario genérico o
un ID de grupo no se permiten.
Las contraseñas de fabricantes por defecto deben ser cambiados.
Las contraseñas de repuesto deben de estar compuestas de acuerdo con la
siguiente convención de nomenclatura:
Las contraseñas deben tener al menos ocho (8) caracteres de longitud y
se compone de letras y números.
Las contraseñas no se pueden repetir en el último año.
Las contraseñas deben cambiarse con frecuencia, pero están obligados a
cambiar cada noventa (90) días.
2. Verificación segura de Nombre de Usuario y Contraseña
Bajo ciertas condiciones, es posible espiar el tráfico de red. Para esta
razón, todos los procedimientos de autenticación deben de utilizar un nombre de
usuario y contraseña. Los sistemas de autenticación de contraseña deben utilizar
un mecanismo de cifrado. Esto significa que se deben aplicar cualquiera de las
versiones de cifrado en los servicios populares tales como correo electrónico,
transferencia de archivos y conexión con redes externas; se pueden usar
programas de acceso.
3. Servicio a Terceros
Cuando se utiliza un tercero para proporcionar servicios o para almacenar datos
o requisitos de seguridad se debe considerar y formar parte de los acuerdos
contractuales. Tal proveedor acuerdos debe incluir salvaguardias adecuadas para
la seguridad de la universidad, su información, recursos y los derechos de
auditoría. Los proveedores y contratistas independientes sólo pueden tener
acceso al mínimo privilegio necesario para llevar a cabo las tareas para las que
han sido retenidas. Los proveedores deben cumplir con todas las políticas y
prácticas aplicables de la UG. El acceso de proveedores debe ser único de
identificación. Las principales actividades de trabajo del proveedor deben ser
registrados e incluyen tales eventos como cambios de personal, cambios de
contraseña, hitos alcanzados, entregables, y los tiempos de llegada y salida.
A la salida de un empleado del proveedor, el proveedor debe estar obligado a
devolver o destruir toda la información sensible, y entregar todas las tarjetas de
identificación de la UG, el acceso tarjetas, equipos y suministros inmediatamente.
Hardware (todos los dispositivos conectados a la red)
1. Registro de dispositivos
Cada dispositivo debe estar registrado en el primer uso, y vuelve a registrar a la
frecuencia vigente en ese momento para el tipo de usuario. Para registrar un
dispositivo, el usuario debe proporcionar el control de acceso al medio de red único
(MAC) identificador de hardware asignado a la dispositivo por su fabricante, la red
de la UG validara el nombre de usuario y la contraseña. Esta la función se lleva a
cabo por el sistema de control de acceso de red.
2. La asignación de identificadores de red
Con el fin de garantizar un funcionamiento de red fiable, todos los dispositivos
deben estar configurados para aceptar el Protocolo de Internet asignado (IP)
dirección numérica y otros parámetros de red que se asignan de forma automática
cada vez que se establece una conexión de red.
3. Equipo de eliminación
La información administrativa es probable que se presente en medios de
almacenamiento asociados con equipos obsoletos o excedentes destinados a la
eliminación.
Por lo tanto, el equipo de tecnología de propiedad de la Universidad debe ser
desechado por el departamento de tecnología que gestiona los activos de la
universidad.
4. Servidor de Registro
Si un dispositivo de red presta servicios a múltiples usuarios, existen
requisitos de registro adicionales, como permitir que los sistemas externos para
iniciar conexiones a un sistema universitario, aumenta el riesgo de la universidad
a las amenazas de Internet. Afuera de la red los sistemas no pueden lograr con
éxito este tipo de conexiones a menos que el sistema universitario es
redireccionado públicamente, es decir, tiene una Dirección Pública de Internet.
5. Configuración de seguridad
Los departamentos y unidades administrativas son responsables de garantizar la
seguridad de los sistemas de acceso público en su departamento. Ellos
desarrollarán y administraran sus propios procedimientos locales para establecer
configuraciones de seguridad.
Software
1. Anti-Virus Software
Los ordenadores infectados con virus o código malicioso pueden poner en peligro
la información seguridad de la tecnología al contaminar, dañando y destruyendo
datos. Por lo tanto, software antivirus debe estar instalado y funcionando con la
lista más actualizada de definiciones de virus. La universidad debe de haber
licenciado el software antivirus para su uso por todos los estudiantes, profesores
o personal de uso de la red.
2. Firewall Software
Todos los ordenadores personales deben utilizar el software de servidor de
seguridad configurado según las directrices de la UG.
3. Software con licencia
El software instalado en cualquier sistema informático de la UG debe estar
legalmente autorizado. Las auditorías podrán llevarse a cabo en cualquier
momento para asegurar este objetivo. Jefes de departamento de la UG son
responsables de garantizar que ningún software de uso de licencia en su
departamento supera niveles de compra y arreglos para copias con licencia
adicionales cuando sea necesario para apoyar las actividades institucionales o
administrativas.
4. Actualización de Software
Todos los parches de seguridad disponibles en la actualidad para los sistemas
operativos y aplicaciones software deben ser instalados.
5. Punto final "chequeo”
Se requiere que todos los ordenadores conectados a la red de la UG se sometan
a una evaluación automatizada para determinar si ciertos ajustes de software y
aplicaciones están correctamente instalado y en funcionamiento. Como resultado
de esta evaluación, el usuario puede requerir la instalación de software nuevo o
volver a configurar el software existente antes de acceder a la red ilimitada. El
acceso a los recursos de Internet es necesario para llevar a cabo las
actualizaciones requeridas. La universidad no puede acceder o modificar el
software o información almacenado en el equipo de propiedad personal sin
permiso del propietario; ahora bien, acceso a la red de la UG puede ser negada o
limitada a menos que estas políticas son cumplido en su totalidad.
6. Transmisión de datos segura
Cuando los empleados están trabajando en un lugar fuera del campus y con
conexión remota a sistemas de la red UG, se debe utilizar un canal de
comunicación cifrado para proteger la confidencialidad de los nombres de usuario,
contraseñas, los registros que contienen o información de carácter legal y
personal. Esto también es necesario cuando se utiliza la red inalámbrica en el
campus.
Un enlace de comunicación cifrado de propósito general se puede lograr a través
del uso de la tecnología "red privada virtual (VPN)". Cuando se esté utilizando la
tecnología VPN de la UG con el equipo personal, los usuarios deben entender que
sus máquinas están actuando como una extensión de la red de la UG, y como
tales están sujetos a las mismas reglas y regulaciones que se aplican a la
propiedad del equipo.
7. Almacenamiento de datos seguro
La información personal debe ser almacenada dentro de los sistemas
universitarios utilizando un método aprobado de cifrado para ayudar a proteger los
datos en caso de no autorizada acceso. Este requisito es especialmente
importante cuando la información se almacena en dispositivos portables y
smartphones.
E. Prácticas Prohibidas
1. Actividades Generales
Los usuarios no pueden participar en ningún propósito ilegal o transmitir material
en violación de las leyes locales, el estado o las leyes o reglamentos de la
Universidad de Guayaquil. Los usuarios no deben involucrarse a propósito en la
actividad que pueda acosar, amenazar o abuso de los demás; degradar el
rendimiento de los recursos de información; privar a un usuario autorizado a
acceder a un recurso de la tecnología; o intentar eludir las medidas de seguridad
de la UG.
Los usuarios no deben intentar acceder a datos o programas contenidos en los
sistemas universitarios para los que no tienen autorización o consentimiento
explícito, y no pueden compartir cuenta (s), contraseñas, tokens de seguridad, o
información similar o dispositivos utilizados para con fines de identificación y
autorización.
Los usuarios no deben realizar ninguna acción que viole los códigos de conducta
de la universidad, política de integridad académica, Manual Personal de Políticas,
Manual de Facultad, tecnología de la información las políticas de seguridad u otras
políticas aplicables de la ley en el caso de conflicto entre las políticas, la política
más restrictiva regirá.
2. Uso Comercial
Los recursos de tecnología de la UG no pueden ser utilizados para solicitudes, con
fines comerciales, o cualquier actividad de negocio para las personas, grupos u
organizaciones sin previo el permiso. Tenga en cuenta que esta política no se
aplica a la promoción de trabajos académicos por los profesores.
3. Derechos de autor y Software Ilegal y Materiales
Los usuarios tienen prohibido hacer o usar copias ilegales de materiales con
derechos de autor o software. Esto incluye la descarga ilegal de software y los
materiales de la Internet. No hay copias ilegales de tales materiales o software
pueden almacenarse en la universidad sistemas o transmiten a través de las redes
universitarias. Los usuarios no pueden copiar el software aplicaciones de un PC a
otro, a menos permitidos legalmente.
4. Correo Electrónico
Las siguientes actividades están prohibidas, ya que impiden el funcionamiento de
sistemas de correo electrónico y puede exponer datos confidenciales de acceso
no autorizado:
Enviar o reenviar mensajes en cadena.
El envío de mensajes no solicitados a grandes grupos, excepto cuando sea
necesario para cumplir con la misión académica o administrativa de la
universidad.
Envío excesivamente grandes (por ejemplo, más de 30 millones de
caracteres) o numerosos mensajes (por ejemplo, más de 1.000), excepto
cuando se coordina en avanzar con el encargado de IT para enviar o
reenviar correo que contiene virus informáticos intencionalmente.
Enviar, reenviar o recibir confidencial o sensible académico o información
administrativa a través de la UG, cuentas de correo electrónico, que es el
correo electrónico proporcionada por los proveedores de servicios de
Internet, como Yahoo, AOL, etc
5. Red de Monitoreo
Los usuarios no pueden realizar análisis de red en busca de otros dispositivos
conectados, ni realizar cualquier forma de supervisión de red que intercepte datos
no destinados a la computadora del usuario, a menos que esta actividad es una
parte del trabajo normal de un empleado autorizado. Los usuarios no tienen que
descargar, instalar o ejecutar programas diseñados para revelar o explotar
debilidades en la seguridad del sistema, tales como los programas de
descubrimiento de contraseñas, captura de paquetes, o escáneres de puertos.
6. Server y Operaciones de Red
A menos que se reciba autorización específica de los encargados, los usuarios o
departamentos individuales no deben operar DHCP, DNS, proxy, correo
electrónico, acceso remoto, o compartir la conexión servidores. Los usuarios no
pueden implementar servidores individuales o departamentales para nada que no
sea con fines académicos. Ejemplos de servidores prohibidos podrían incluir la
música y los sistemas de intercambio de vídeo y servidores de juego.
Proveedores de DNS externos pueden no ser causado a publicitar los servicios en
las direcciones de red de la UG. Los usuarios o departamentos no deben instalar
los componentes individuales de la red, tales como switches, routers, o
inalámbrica puntos de acceso o alterar cualquier cableado de red. Sin embargo,
los dispositivos de concentrador de cableado son permitidos.
7. Comunicación inalámbrica
Instalación, ingeniería, mantenimiento y operación de redes de cable e
inalámbricas sirviendo profesores universitarios, personal o estudiantes de
cualquier propiedad o arrendada por la universidad son de exclusiva
responsabilidad del encargado de IT.
F. EJECUCIÓN
Las violaciones de esta política deben ser reportadas al Director de Centro de
Computo que investigará el incidente y tomar las acciones correctivas apropiadas.
Acciones correctivas podrían incluir, sin limitación, las siguientes:
Posesión temporal o permanente de los privilegios de accesos
universitarios recibirán sanciones según lo prescrito por los estudiantes,
los códigos de conducta, facultad, o del personal, incluyendo el despido o
expulsión de la universidad.
Reembolso monetario a la universidad o fuentes apropiadas por el
enjuiciamiento bajo las leyes civiles aplicables.
La universidad podrá adoptar cualquier acción es necesaria para investigar y
violaciones de dirección de políticas, incluyendo temporal o permanentemente
terminar acceso a la red.
Con el fin de garantizar el funcionamiento de las políticas se debe:
Monitor de tráfico de red para la detección de actividad.
Ver o escanear cualquier archivo o software almacenado en los sistemas
universitarios o transmitida por redes universitarias.
Realizar y revisar los resultados de los análisis de seguridad basados en
la red de los sistemas automatizados y los dispositivos de la red de la
universidad con el fin de detectar las vulnerabilidades conocidas o equipos
comprometidos.
Informe recurrentes vulnerabilidades más de varias exploraciones a la
cabecera departamental u otro gerente apropiado.
Tomar medidas para desactivar el acceso a la red a los sistemas o
dispositivos afectados si se identifica la seguridad vulnerabilidades
consideradas como un riesgo importante para los demás se han reportado.
Actuar de manera unilateral para contener el problema, hasta e incluyendo
los sistemas o dispositivos de aislamiento desde la red (aunque primero se
hizo todo lo posible para buscar la cooperación de la usuario o contacto
apropiado para el sistema involucrado).
Coordinar las investigaciones sobre las supuestas concesiones de
ordenador o de seguridad de red o incidente de seguridad.
Colaborar en la identificación y persecución de actividades contrarias a la
universidad. políticas o requisitos legales. Acciones se tomarán de acuerdo
con el correspondiente políticas universitarias, códigos y procedimientos
con, en su caso, la participación. de la agencias de la oficina, de la Policía
Nacional, y la aplicación de la ley.
G. ACCESO A LOS REGISTROS DE LA UNIVERSIDAD
La universidad ofrece un acceso limitado a los datos académicos y administrativos
a aquellos cuya responsabilidades educativas o administrativas así lo requieran
para llevar a cabo su función de trabajo.
Los múltiples niveles de acceso que existen son generalmente determinados por
la naturaleza de la posición celebrada en lugar de por el individuo. Esta práctica
ayuda a garantizar que las restricciones de acceso a datos son consistentes y con
base en las consideraciones legales, éticas y prácticas. La universidad espera
todos los custodios de sus registros académicos y administrativos para acceder y
utilizar esta información de manera consistente con las necesidades de la
universidad para la seguridad, la integridad y confidencialidad. Cada unidad
funcional de la universidad debe desarrollar y mantener clara y procedimientos
consistentes para el acceso a los datos académicos y administrativos dentro de
su área de responsabilidad y de acceso opinión niveles y procedimientos
regularmente. Tenga en cuenta que no hay nada en estos políticas impide o
direcciones de la publicación de los datos institucionales a organizaciones
externas o agencias gubernamentales como lo requiere la legislación, regulación
u otro vehículo legal.
1. Acceso a los Derechos y Responsabilidades
Derechos de acceso para ciertas aplicaciones se asignan automáticamente según
la función.
Otros, como los del sistema de SIUG requieren la intervención de rectorado para
mantener la seguridad adecuada. Los jefes de departamento deben garantizar que
sus representantes mantienen sólo los privilegios de acceso necesarios para el
desempeño de sus funciones oficiales de trabajo.
Los usuarios sólo pueden acceder, cambiar o eliminar datos según sea necesario
en cumplimiento de asignado deberes universitarios. Los siguientes ejemplos de
comportamientos prohibidos son ilustrativos, no exhaustivo:
No cambie los datos acerca de usted mismo u otras personas por razones
distintas de lo habitual fines administrativos.
No utilizar la información (incluso si está autorizado para acceder a ella)
para apoyar las acciones de que los individuos podrían beneficiarse (por
ejemplo, un cambio en la facturación, asignaciones de cupo, un mejor
calificación en un curso, la ayuda financiera, los permisos, cuenta de
estudiante).
No revelar información sobre las personas sin supervisor antes
autorización.
No participe en cualquier tipo de análisis de datos no autorizadas (por
ejemplo, el seguimiento de un patrón de aumentos salariales; determinar
la fuente y / o destino de llamadas de teléfono o direcciones de protocolo
de Internet; la exploración de datos personales).
No eludir la naturaleza o el nivel de acceso a los datos dado a los demás
por proporcionar acceso de datos o conjuntos que son más amplias que
las disponibles para ellos a través de sus propios niveles aprobados de
acceso (por ejemplo, proporcionando un conjunto de datos de toda la
universidad de información de recursos humanos a un compañero de
trabajo que sólo se ha aprobado el acceso a un solo departamento de
recursos humanos).
No facilitar la otra es el acceso ilegal a los sistemas administrativos de la
UG o poner en peligro la integridad de los sistemas o datos al compartir
sus contraseñas u otra información.
No violar las políticas universitarias o, estatales, o leyes locales federales
en el acceso, manipular, o divulgar datos administrativos universitarios.
No conocer los datos institucionales a los departamentos internos,
externos organizaciones o agencias gubernamentales sin la aprobación
previa de su supervisor.
No copiar para uso personal cualquier documento universitario salvo
autorización.
No recuperar, ver o examinar cualquier documento o archivo universitario,
excepto aquellas a las que se le da el acceso o de otra manera autorizada
para manejar.
Se buscará la aplicación de estas directrices como se indica en la sección F de
este documento.
2. Privacidad
Todos los archivos creados o mantenidos en las computadoras de propiedad
universitaria o almacenada dentro sistemas de propiedad de la universidad están
sujetos a las políticas de privacidad de la universidad. Aunque el acceso a archivos
se limita a los destinados a tenerlo, funcionarios universitarios autorizados pueden
examinar el contenido de todos los archivos y registros operacionales mantenidos
en propiedad de la universidad.
Aunque no se escatiman esfuerzos para respetar la privacidad y confidencialidad
de los archivos de los usuarios, la universidad se reserva el derecho de ver o
escanear cualquier archivo o software almacenada en sistemas universitarios o
transmitida a través de redes universitarias. Esto será hecho periódicamente para
verificar que el software y el hardware funcionan correctamente, a conservar los
datos con fines de copia de seguridad, para buscar formas perjudiciales de datos
o software tales como virus informáticos, para auditar el uso de los recursos de la
universidad, y para garantizar el cumplimiento de la ley y con las políticas
universitarias.
Todos los archivos están más sujetos a revisión externa y posible lanzamiento
público resultante a partir de una orden de allanamiento o citación emitida y sirvió
de conformidad con la ley. Divulgación de la información de los registros del
sistema u otros registros de uso a los oficiales de la ley apoyo procedimientos
disciplinarios internos sólo se permite cuando así lo requiera y
consistente con la ley, o cuando hay razones para creer que una violación de la
ley o de una política universitaria ha tenido lugar.
INCUMPLIMIENTO DE INFORMES A LA SEGURIDAD
Debido a los procesos específicos se han establecido para hacer frente a las
violaciones de seguridad, cualquier sospecha violación de la seguridad debe ser
reportado inmediatamente al Director de División de Centro de Computo.
I. DATOS DE RESPALDO Y RECUPERACIÓN
Los servidores de producción y los ordenadores que ofrecen recursos compartidos
de red están respaldados con regularidad para proporcionar protección contra
fallos de hardware y otros desastres.
Los ordenadores individuales no están respaldados por Centro de Computo. Se
recomienda encarecidamente que los usuarios hacer copias de seguridad
individuales de los datos críticos.
CONCIENCIA Y FORMACIÓN ACERCA DE SEGURIDAD DE LA
INFORMACIÓN
Es esencial que todos los aspectos de seguridad de las tecnologías de la
información, incluida la confidencialidad, privacidad y procedimientos en materia
de acceso al sistema, se incorporarán a los estudiantes formal, procedimientos de
la facultad y de orientación personal y los transportan a comunidad universitaria
existente miembros sobre una base regular.
Los decanos deben revisar, al menos anualmente o cuando la descripción del
trabajo de cambio, los deberes de personal bajo su supervisión para determinar si
la posición es de confianza especial.
Personal cuyas funciones les ponen en contacto con información confidencial o
sensible deberían estar obligados a proporcionar una garantía por escrito de su
intención de cumplir con las políticas de seguridad de la universidad y asistir a un
programa de sensibilización y capacitación al menos anualmente y recibir informes
periódicos de seguridad según sea necesario.
ANEXO N° 7 – MODELO DE MATRIZ DE
RIESGO / PLAN DE MITIGACION
Probabilida
d de Riesgo
Severidad del Riesgo
Catástrof
e
A
Critic
o
B
Moderad
o
C
Meno
r
D
Insignificant
e E
5 – Frecuente
5A 5B 5C 5D 5E
4 – Probable
4A 4B 4C 4D 4E
3 - Ocasional
3A 3B 3C 3D 3E
2 – Raramente
2A 2B 2C 2D 2E
1 – Improbable
1A 1B 1C 1D 1E
Índice de
Evaluación de
Riesgo
Criterios
Responsables de la
Organización
5A, 5B, 5C, 4A, 4B,
3A
Inaceptable bajo las
circunstancias existentes
requiere de una acción
inmediata.
Comité de Revisión de
Riesgos/ Risk Review Board
(RRB),
Seguridad, Calidad y Medio
Ambiente
5D, 5E, 4C, 3B, 3C,
2A, 2B
Manejable bajo control de
riesgos y la mitigación.
Requiere RAB y gestión
de decisiones
Consejeros Delegados y / o
Comité de Análisis de
Riesgos/Risk Analysis Board
(RAB)
4D, 4E, 3D, 2C, 1A,
1B
Aceptable después de la
revisión de la operación.
Requiere seguimiento
continuo y registro de plan
de acción.
Directores generales,
Gerentes y / o
Responsables de la
Organización
3E, 2D, 2E, 1C, 1D,
1E
Aceptable con los datos
continúa
recolección y tendencias
para la mejora continua.
Departamento de Gerentes
Probabilidad de Ocurrencia
Definicion
Cualitativa
Significado
Valor
Frecuente
Probable que ocurra muchas veces (producido con
frecuencia)
Se experimentará continuamente a menos que se
tomen medidas para cambiar eventos
5
Probable
Probable que ocurra algunas veces (ocurrido con poca
frecuencia)
La actividad o evento espera que se produzca 50-99% del
tiempo.
Ocurrirá con frecuencia si los acontecimientos siguen
patrones normales de proceso o procedimiento. El evento
es repetible y menos esporádica
Auditor / Regulador propensos a identificar tema con la
actividad de auditoría mínima
Fracasos evidentes a los auditores o reguladores
capacitados.
4
Ocasional
Poco probable, pero posible que ocurra (ocurrido raramente) Una actividad o evento ocurre con poca frecuencia, o irregularmente, o 25 a 50% de las veces Posibilidad de ocurrencia poco frecuente. Los eventos son de naturaleza esporádica Auditor / regulador tiene el potencial de descubrimiento cuestión durante la revisión focalizada o especializado. Proceso tiene mayor grado de errores del sistema latentes descubiertas con controles adecuados
3
Raramente
Muy poco probable que ocurra (no se sabe que se ha
producido)
Una actividad o evento que se produce de forma
intermitente, o 25.1% de tiempo
No es probable que suceda (aunque podría)
Regulador / Auditor tiene baja probabilidad de
identificación tema durante cualquier comentario general
o enfocada
2
Improbable
Una probabilidad remota, siendo casi inconcebible
que evento ocurra.
1